Исследователи нашли уязвимости в IoT-четках, которые ранее представили разработчики Ватикана. Создатели продукта не защитили пользовательские аккаунты от стороннего вмешательства и оставили злоумышленникам доступ к частной информации.

Умные четки eRosary поступили в продажу 15 октября по цене чуть более $100. Устройство, которое состоит из десяти бусин и распятия, отслеживает, когда пользователь крестится. В этот момент оно запускает на телефоне или планшете приложение Click To Pray, чтобы подсказать верующему последовательность движений или слова в Розарии.

Буквально на следующий день после выхода продукта эксперты обнаружили в программе серьезные проблемы безопасности. Как выяснилось, разработчики не ограничили количество неудачных попыток авторизации в Click To Pray. Это позволяло взломщику подобрать четырехзначный PIN-код, который используется для авторизации в приложении.

Эту комбинацию цифр также можно было получить через API-запрос бэкенд-серверу по электронному адресу жертвы.

В результате взломщик получал доступ к профилю Click To Pray, где хранятся возраст, рост, вес пользователя, и, в некоторых случаях, его фото. Злоумышленник мог удалить аккаунт и скомпрометировать новые учетные записи при условии, что они будут зарегистрированы на известный ему электронный адрес.

Исследователи подчеркнули, что, хотя в профиле Click To Pray не было финансовых данных и прочей важной информации, от взлома могли пострадать верующие в странах, где католики сталкиваются с притеснениями. Кроме того, приложение позволяло соотнести имя человека с его фотографией и датой рождения, чтобы позже использовать это в атаках на основе социальной инженерии.

На момент публикации разработчики исправили обнаруженные баги.

В 2018 году аналитики «Лаборатории Касперского» привлекли внимание к неочевидной уязвимости потребительских IoT-устройств, создающей угрозу финансовой безопасности и приватности пользователей носимых устройств. Благодаря возможностям нейронных сетей эксперты смогли с точностью до 80% подобрать PIN-код банковской карты. Для этого они воспользовались той же функцией, которая позволяет умным четкам распознавать крестное знамение.

Категории: Уязвимости