Watykański eRóżaniec z luką bezpieczeństwa w aplikacji mobilnej

W połowie października, branżowe media donosiły o prezentacji ciekawego akcesorium religijnego – różańca w formie inteligentnej opaski na rękę. Sam pomysł takiego rozwiązania może wydawać się co najmniej oryginalny, ale największe wątpliwości zaczęło budzić jego bezpieczeństwo.

Wearable z Watykanu

eRóżaniec (w oryginale eRosary) to oficjalny produkt zaprezentowany 15 października na konferencji w Watykanie. Za jego powstanie odpowiada Światowa Papieska Sieć Modlitwy, która skupia ludzi modlących się każdego dnia.

Inteligentny różaniec stanowić ma odpowiedź na wzrastająca popularność urządzeń ubieralnych czyli. tzw. wearables. eRosary jest bowiem smartbandem składającym się z 10 hematytowych paciorków i krzyżyka, w którym mieszczą się dane powiązane z dedykowaną urządzeniu aplikacją mobilną Click To Pray eRosary.

„Click to pray” o pokój na świecie

W założeniu, watykański wearable i aplikacja mobilna mają uczyć wiernych odmawiania różańca w intencji pokoju na świecie. Bransoletkę aktywuje się poprzez… wykonanie ręką znaku krzyża. Aktywowany eRóżaniec połączy się ze smartfonem przez blutooth i zsynchronizuje z aplikacją Click To Pray eRosary.

Zawiera ona wskazówki audio, zdjęcia oraz osobiste informacje dotyczące modlitwy rożańcowej. Użytkownik może wybrać w niej różne typy różańca (np. standardowy, kontemplacyjny), a bransoletka będzie informowała go postępie modlitwy. Może wysyłać także przypomnienia o modlitwie oraz, jak na smartband przystało, informować o dziennej liczbie przebytych kroków.

Grupą docelową urządzenia są ludzie młodzi, których Światowa Papieska Sieć Modlitwy chciałaby zachęcić do odmawiania różańca oraz kontemplacji Ewangelii. Ponadto eRóżaniec powiązany jest z aplikacją mobilną Click To Pray.

eRóżaniec z luką bezpieczeństwa

Jak donosi jednak CNET, aplikacja Click to Pray eRosary zawierała poważną lukę bezpieczeństwa związaną z logowaniem. Odkrył ja francuski analityk Robert Baptise, który zhakował aplikacje w ciągu, jak twierdzi, zaledwie 15 minut. Wystarczyło, by haker posiadał adres e-mail użytkownika przypisany do konta w Click to Pray eRosary. 

Logowanie do Click to Pray eRosary każdorazowo wymaga podania jednorazowego kodu PIN, który wysyłany jest na adres e-mail przypisany do konta. Problem polegał na tym, że aplikacja wysyłała na serwery prośbę o przesłanie PINu do użytkownika, jednocześnie wysyłając kod na jego telefon. Śledzący ruch w sieci haker miał wiec wolną drogę do pozyskania PIN z API aplikacji oraz przejęcia konta. Co więcej, kiedy zalogował się do niego, prawowity użytkownik był z niego wylogowywany.

Lukę udało się już załatać – wspólnymi siłami Roberta Baptiste i twórców aplikacji. To przypadek ciekawy o tyle, że powinien uwrażliwiać innych twórców aplikacji połączonych z urządzeniami IoT na podobne luki związane z uwierzytelnianiem. Aplikacja różańcowa nie zawierała na szczęście zbyt „wrażliwych danych” (były to m.in. podane w profilu waga, wzrost użytkownika, jego awatar, informacje o modlitwie). Haker mógł jednak po prostu “złośliwie” usunąć konto użytkownika.

Sam eRóżaniec wydaje się sprzętem dosyć oryginalnym, który niekończenie odpowiada jednak na realne potrzeby młodych wiernych. Koszt urządzenia to około 400 złotych (110$)

Źródła:
www.vaticannews.va
www.cnet.com