В «умных» чётках за 15 минут нашли уязвимость

Брешь позволяла взломщику войти в аккаунт пользователя, зная только привязанный email-адрес. Это значит, что злоумышленник мог украсть личную информацию.

484

В «умных» чётках нашли уязвимость. Чтобы её обнаружить, исследователю Батисту Роберту потребовалось всего 15 минут. По его словам, брешь позволяла взломщику войти в аккаунт пользователя, зная только привязанный email-адрес. Это значит, что злоумышленник мог украсть личную информацию из профиля.

Во всём виноваты особенности обработки данных для входа в приложение Click to Pray, которое сопрягается с чётками. При регистрации нужно указать email-адрес, но задать пароль нельзя. Для входа сервис каждый раз присылает пользователю PIN-код. Приложение запрашивает этот код у сервера, но получает его по открытой сети. Каждый, у кого есть доступ к этой сети, может получить PIN-код для авторизации.

Таким образом исследователь пару раз залез в аккаунт редактора CNET — в качестве эксперимента. Оказалось, что там отображается пол, рост, вес и день рождения.

Проблема уже исправлена.

Если вы не в теме, о «божественном» устройстве мы писали ранее на сайте.

Следите за новыми постами по любимым темам

Подпишитесь на интересующие вас теги, чтобы следить за новыми постами и быть в курсе событий.

Безопасность
Интернет вещей
484
Что думаете?
0 комментариев
Сначала интересные
Курсы
набор еще идетонлайн7590₽
набор еще идетонлайнбесплатно
набор еще идетонлайнбесплатно
набор еще идетонлайн2790₽
Все курсы