Można było przejmować konta połączone z inteligentnym różańcem od Watykanu

Podatność wykryto w aplikacji Click to Pray sterującej urządzeniem IoT od Watykanu: inteligentnym różańcem:

różaniec

Jak donosi CNET, problem występował w mechanizmie tworzenia konta – należało podać e-mail, na który był wysyłany kod PIN (odpowiednik hasła). Wszystko w porządku, tylko operację można było wykonać ponownie (znając e-mail ofiary), a PIN był wysyłany również w odpowiedzi generowanej przez stosowną funkcję API. Mając już PIN (hasło) można było mieć dostęp do konta ofiary (w tym np. liczbę przebytych kroków czy przebytą odległość – eRóżaniec jest bowiem również opaską fitness). Producent szybko załatał problem.

–ms