W ​inteligentnym różańcu znaleziono lukę bezpieczeństwa

Przed kilkoma dniami oficjalnie zaprezentowano eRosary - inteligentny różaniec, który łączy się z dedykowaną aplikacją na smartfony i ma pomagać katolikom w modlitwie. Jak się jednak okazuje, urządzenie oraz towarzysząca mu aplikacja posiadały poważną lukę bezpieczeństwa, która narażała na ujawnienie danych osobowych użytkowników

Inteligentny różaniec eRosary to akcesorium przygotowane dla wiernych przez Watykan. Synchronizuje się ono z dostępną na smartfony aplikacją Click To Pray i ma pomóc wiernym w regularnej modlitwie, m.in. poprzez dostarczanie rozważań oraz fragmentów Pisma Świętego. Nie potrzeba było nawet kilku dni od debiutu urządzenia, by francuski badacz cyberbezpieczeństwa Baptiste Robert, znalazł w nim poważną lukę bezpieczeństwa, która pozwalała w łatwy sposób włamać się do konta konkretnego użytkownika. Jej odkrycie miało zająć niecałe 15 minut.

Reklama

Podatność była bezpośrednio powiązana z mechanizmem logowania do aplikacji, który wymagał podania przez użytkownika swojego adresu e-mail, na który następnie wysyłano jednorazowy kod PIN. Problem polegał na tym, że w momencie kiedy aplikacja komunikowała się z serwerem i wygenerowany został wspomniany kod, był on również przesyłany bezpośrednio na telefon użytkownika. Przestępca monitorujący ruch w sieci mógł go bez problemu przechwycić i wykorzystać do przejęcia kontroli nad kontem. W ten sposób mógł on uzyskać dostęp do danych osobowych właściciela, w tym jego płci, daty urodzenia czy zdjęcia.

Zagrożeń tego typu nie należy bagatelizować. Choć dane ujawnione na skutek włamania mogą wydawać się nieszkodliwe, to nie znaczy, że nie są wartościowego dla przestępców. Nawet pozornie błahe informacje osobiste dotyczące chociażby daty urodzenia czy wyznania danej osoby mogą być wykorzystane np. do przygotowania spersonalizowanej kampanii spear phishingowej. 

Co prawda luka w inteligentnym różańcu i aplikacji Click To Pray została już załatana, jednak jest to kolejna już sytuacja zwracająca uwagę na zagrożenia związane z rosnącą popularnością Internetu rzeczy.  

- Podczas naszych szkoleń z hackingu wielokrotnie podkreślamy, jakie zagrożenie niesie ze sobą coraz większa liczba wszelkiego rodzaju inteligentnych urządzeń łączących się z naszymi sieciami oraz w jaki sposób mogą wykorzystać je przestępcy. Niestety świadomość w tym zakresie nadal pozostawia wiele do życzenia - komentuje Justyna Puchała z Autoryzowanego Centrum Szkoleniowego DAGMA.

INTERIA.PL/informacje prasowe
Reklama
Reklama
Reklama
Reklama
Reklama
Strona główna INTERIA.PL
Polecamy