«Но избави нас от лукавого и уязвимостей ПО»

На минувшей неделе римская католическая церковь продемонстрировала желание идти в ногу со времени: Ватикан выпустил в продажу «умные четки». Это носимое электронное устройство при желании можно использовать как обычный браслет или фитнес-трекер, но служит оно и духовным целям. Четки напоминают обладателю о времени молитвы, а при необходимости через них можно запросить – и получить на управляющее устройством мобильное приложение Click to Pray – текст молитв, наиболее подходящих к тем или иным церковным праздникам или просто жизненным ситуациям. Заслуживает похвалы элегантность решения разработчиков: чтобы активировать четки, нужно перекреститься.

Однако уже в день поступления «умных четок» в продажу французский исследователь Батист Робер (кстати, его имя означает «креститель») обнаружил серьезную уязвимость устройства. Ватиканские разработчики решили избавить пользователей от необходимости иметь дело с паролями. При регистрации в сервисе Click to Pray достаточно указать адрес электронной почты, на который приходит одноразовый пин-код – его и нужно вводить для авторизации. Но проблема в том, что пин-коды передаются в незашифрованном виде - обнаружить и перехватить их не составляет труда для любого, кто имеет возможность анализировать трафик в сети, к которой подключен пользователь. В результате злоумышленник может перехватить аккаунт и получить доступ ко всей информации, которую пользователь ввел при регистрации: имя, дата рождения, пол, рост и вес. Дополнительную опасность создает то, что Android-версия Click to Pray еще и запрашивает разрешение совершать звонки и передавать на сервер данные о геопозиции пользователя.

Батист Робер уведомил Ватикан об уязвимости, и к настоящему моменту она уже устранена. От каких-либо комментариев по этому поводу представители Святого Престола воздержались.

Источник: CNet