23 października 2019

Poważna luka bezpieczeństwa znaleziona w inteligentnym… różańcu

Przed kilkoma dniami oficjalnie zaprezentowano eRosary – inteligentny różaniec, który łączy się z dedykowaną aplikacją na smartfony i ma pomagać katolikom w modlitwie. Jak się jednak okazuje, urządzenie oraz towarzysząca mu aplikacja posiadały poważną lukę bezpieczeństwa, która narażała na ujawnienie danych osobowych użytkowników. To kolejny przykład na powszechne bagatelizowanie zagrożeń związanych z Internetem rzeczy.

Inteligentny różaniec eRosary to interesujące akcesorium przygotowane dla wiernych przez Watykan. Synchronizuje się ono z dostępną na smartfony aplikacją Click To Pray i ma pomóc wiernym w regularnej modlitwie, m.in. poprzez dostarczanie rozważań oraz fragmentów Pisma Świętego. Nie potrzeba było nawet kilku dni od debiutu urządzenia, by francuski badacz cyberbezpieczeństwa Baptiste Robert, znalazł w nim poważną lukę bezpieczeństwa, która pozwalała w łatwy sposób włamać się do konta konkretnego użytkownika. Jej odkrycie miało zająć niecałe 15 minut.

Podatność była bezpośrednio powiązana z mechanizmem logowania do aplikacji, który wymagał podania przez użytkownika swojego adresu e-mail, na który następnie wysyłano jednorazowy kod PIN. Problem polegał na tym, że w momencie kiedy aplikacja komunikowała się z serwerem i wygenerowany został wspomniany kod, był on również przesyłany bezpośrednio na telefon użytkownika. Przestępca monitorujący ruch w sieci mógł go bez problemu przechwycić i wykorzystać do przejęcia kontroli nad kontem. W ten sposób mógł on uzyskać dostęp do danych osobowych właściciela, w tym jego płci, daty urodzenia czy zdjęcia.

Każde włamanie niesie ze sobą zagrożenie

Zagrożeń tego typu nie należy bagatelizować. Choć dane ujawnione na skutek włamania mogą wydawać się nieszkodliwe, to nie znaczy, że nie są wartościowego dla przestępców. Nawet pozornie błahe informacje osobiste dotyczące chociażby daty urodzenia czy wyznania danej osoby mogą być wykorzystane np. do przygotowania spersonalizowanej kampanii spear phishingowej.

Inteligentne urządzenia coraz częstszym problemem

Co prawda luka w inteligentnym różańcu i aplikacji Click To Pray została już załatana, jednak jest to kolejna już sytuacja zwracająca uwagę na zagrożenia związane z rosnącą popularnością Internetu rzeczy. Warto przypomnieć chociażby incydent, kiedy przestępcom udało się zainfekować całe przedsiębiorstwo, włamując się do ekspresu do kawy.

Podczas naszych szkoleń z hackingu wielokrotnie podkreślamy, jakie zagrożenie niesie ze sobą coraz większa liczba wszelkiego rodzaju inteligentnych urządzeń łączących się z naszymi sieciami oraz w jaki sposób mogą wykorzystać je przestępcy. Niestety świadomość w tym zakresie nadal pozostawia wiele do życzenia.
 

Autorem tekstu jest Katarzyna Pilawa

Justyna Puchała

Justyna Puchała
dyrektor DAGMA Szkolenia IT

Masz pytania?
Skontaktuj się ze mną:
szkolenia@dagma.pl
800 080 322

Podobne wpisy: