В «умных» чётках за 15 минут нашли уязвимость

В «умных» чётках нашли уязвимость. Чтобы её обнаружить, исследователю Батисту Роберту потребовалось всего 15 минут. По его словам, брешь позволяла взломщику войти в аккаунт пользователя, зная только привязанный email-адрес. Это значит, что злоумышленник мог украсть личную информацию из профиля.

Во всём виноваты особенности обработки данных для входа в приложение Click to Pray, которое сопрягается с чётками. При регистрации нужно указать email-адрес, но задать пароль нельзя. Для входа сервис каждый раз присылает пользователю PIN-код. Приложение запрашивает этот код у сервера, но получает его по открытой сети. Каждый, у кого есть доступ к этой сети, может получить PIN-код для авторизации.

Таким образом исследователь пару раз залез в аккаунт редактора CNET — в качестве эксперимента. Оказалось, что там отображается пол, рост, вес и день рождения.

Проблема уже исправлена.

Если вы не в теме, о «божественном» устройстве мы писали ранее на сайте.