Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Można było przejmować konta połączone z inteligentnym różańcem od Watykanu
Podatność wykryto w aplikacji Click to Pray sterującej urządzeniem IoT od Watykanu: inteligentnym różańcem:
Jak donosi CNET, problem występował w mechanizmie tworzenia konta – należało podać e-mail, na który był wysyłany kod PIN (odpowiednik hasła). Wszystko w porządku, tylko operację można było wykonać ponownie (znając e-mail ofiary), a PIN był wysyłany również w odpowiedzi generowanej przez stosowną funkcję API. Mając już PIN (hasło) można było mieć dostęp do konta ofiary (w tym np. liczbę przebytych kroków czy przebytą odległość – eRóżaniec jest bowiem również opaską fitness). Producent szybko załatał problem.
–ms