Różaniec z aplikacją narażał dane użytkowników. Watykan popełnił poważny błąd

Różaniec i opaska fitness w jednym, czyli eRosary, jest na rynku od tygodnia. Analitycy bezpieczeństwa już znaleźli w oprogramowaniu z Watykanu poważną lukę, która ujawnia dane użytkowników różańca.

eRosary to opaska sportowa o funkcjach podobnych do Xiaomi Mi Band, ale wyposażona w dodatkowe funkcje, pomagające w modlitwie. Gadżet jest bardzo elegancki – poza elektronicznym modułem, który można rozłożyć do postaci krzyża, składa się z 10 koralików agatowych i 11 małych hematytów. Watykan współpracował z firmami GadgeTek i Acer przy produkowaniu tego urządzenia.

Najciekawsza jest tu aplikacja – ma te same funkcje, co typowa aplikacja sportowa, a także elementy wspomagające modlitwę – licznik odmówionych dziesiątek różańca oraz nagrania pieśni i czytań z Pisma Świętego. To jakby połączyć S Health Samsunga z polską aplikacją Modlitwa w drodze. Tryb modlitwy jest aktywowany automatycznie po przekręceniu części elektronicznej, by wyglądała jak krzyż.

Wiara pomaga w wielu aspektach życia, ale nie obroni przed cyberatakiem. Znalezienie luki bezpieczeństwa zajęło mniej niż 5 minut. Nie zdziwię się, jeśli padł tu jakiś hakerski rekord.

Lukę w oprogramowaniu różańca znalazła firma Fidus Information Security z Wielkiej Brytanii. Analitycy w kilka minut znaleźli podatność i od razu przygotowali exploit, który całkowicie przejmował kontrolę nad kontem użytkownika różańca. Na kontach są przechowywane takie dane jak adres e-mail, numer telefonu, waga, wzrost i tym podobne informacje osobiste. Watykan ratuje tylko to, że luka została odkryta tak szybko i nikt nie zdążył jej wykorzystać w niecnych celach.

By włamać się na konto użytkownika elektronicznego różańca, wystarczy podsłuchać ruch sieciowy z watykańskiej aplikacji. Podczas zakładania konta, na podany w aplikacji adres e-mail wysyłany jest PIN zabezpieczający. Okazuje się, że nie trzeba mieć dostępu do skrzynki pocztowej użytkownika, by go zdobyć. Wystarczy podsłuchać transmisję z aplikacji, by przechwycić klucz API serwera.

Żądanie zmiany PIN-u dla danego adresu e-mail można wysłać samodzielnie. Serwer odpowie nowym PIN-em. Ponadto zapytanie o PIN wyloguje użytkownika z sesji w aplikacji. Jeśli atakujący będzie działał dostatecznie szybko, konto jest nie do odzyskania.

Analitycy bezpieczeństwa często spotykają się z niepoważnym traktowaniem, gdy zgłaszają swoje odkrycia producentom oprogramowania. Tak było i tym razem. Elliot Alderson znalazł lukę w tym samym czasie, co Fidus i także zgłosił ją Watykanowi.

Alderson wykazał się anielską cierpliwością, w końcu znalazł kogoś, kto go wysłucha i pomógł programistom naprawić błąd. Cały proces zajął 36 godzin – to niezły czas, ale można było działać szybciej, zwłaszcza że obejście problemu jest prowizoryczne. Po prostu API zwraca 8 cyfr, a na adres e-mail wciąż wysyłany jest właściwy PIN 4-cyfrowy. Jestem przekonana, że już ktoś pracuje nad rozgryzieniem, czy te 4 cyfry zawierają zakodowany prawdziwy PIN, czy są generowane losowo.

Moim zdaniem Watykan w szczególności powinien zadbać o cyberbepieczeństwo. W kierunku Stolicy Apostolskiej zwrócone są oczy setek milionów osób, szukających pociechy, nadziei i poczucia bezpieczeństwa.