В «умных» чётках за 15 минут нашли уязвимость
Брешь позволяла взломщику войти в аккаунт пользователя, зная только привязанный email-адрес. Это значит, что злоумышленник мог украсть личную информацию.
В «умных» чётках нашли уязвимость. Чтобы её обнаружить, исследователю Батисту Роберту потребовалось всего 15 минут. По его словам, брешь позволяла взломщику войти в аккаунт пользователя, зная только привязанный email-адрес. Это значит, что злоумышленник мог украсть личную информацию из профиля.
Во всём виноваты особенности обработки данных для входа в приложение Click to Pray, которое сопрягается с чётками. При регистрации нужно указать email-адрес, но задать пароль нельзя. Для входа сервис каждый раз присылает пользователю PIN-код. Приложение запрашивает этот код у сервера, но получает его по открытой сети. Каждый, у кого есть доступ к этой сети, может получить PIN-код для авторизации.
Таким образом исследователь пару раз залез в аккаунт редактора CNET — в качестве эксперимента. Оказалось, что там отображается пол, рост, вес и день рождения.
Проблема уже исправлена.
Если вы не в теме, о «божественном» устройстве мы писали ранее на сайте.
484 открытий486 показов
Описали четыре техники увеличения безопасности кода и подобрали примеры к каждой из них. В статье вы познакомитесь не только с универсальными приемами, но и специфическими – для серверов и ботов.
Рассказываем, какие популярные и не очень языки программирования нужно знать, чтобы заниматься разработкой в IoT.
Энтузиаст портировал легендарную DOOM 1993 года на банковский терминал. Причем неотъемлимая часть геймплея завязана на использовании карты
Рассказали, через какие этапы стоит пройти, чтобы эффективно выполнить миграцию сервиса на облако, подготовили план и протестировали нагрузку.