2 min de lecture

Le chapelet de prière eRosary lancé par le Vatican : piraté en 10 minutes

Bitdefender

Octobre 25, 2019

Promo Un seul produit pour protéger tous vos appareils, sans les ralentir.
Essai gratuit de 30 jours
Le chapelet de prière eRosary lancé par le Vatican : piraté en 10 minutes

Les chercheurs n’ont eu besoin que de 10 minutes pour trouver de sérieuses vulnérabilités dans le bracelet eRosary du Vatican. La bonne nouvelle est que les problèmes ont été résolus en quelques jours, bien que l’accessoire de prière soit toujours examiné pour des problèmes de sécurité.

Le bracelet peut être utilisé pour prendre le contrôle du compte utilisateur de l’application qui l’accompagne. Les chercheurs ont découvert ces problèmes en moins de dix minutes, montrant à quel point l’accessoire était peu sécurisé.

Le eRosary est décrit comme un outil qui apprend aux gens à prier avec un chapelet et qui utilise la connectivité Bluetooth. Les gens utilisent un capteur tactile pour faire le signe de croix afin d’activer l’appareil. Bien sûr, il a besoin d’une application mobile et doit communiquer avec elle, comme beaucoup d’appareils connectés.

Le chapelet eRosary et son application ClickToPray sont sécurisés par authentification Google, authentification Facebook et connexion par adresse mail. Le problème est qu’il utilise un code PIN et non un mot de passe.

“Le code PIN à 4 chiffres contrôle l’accès à l’application et, lors de la réinitialisation d’un compte utilisateur, il est envoyé à l’adresse e-mail enregistrée”, ont expliqué les chercheurs de Fidus. “Lorsque l’application demande l’envoi d’un code PIN, elle appelle la fonction resend_pin, qui envoie le code PIN à l’e-mail mais renvoie également de façon catastrophique le code PIN à l’appli; permettant à quiconque d’obtenir ce code à 4 chiffres SANS accès au courrier électronique. “

Les données compromises par le piratage comprennent le nom d’utilisateur, le poids, la taille, le sexe, la date de naissance et le numéro de téléphone. Quelques fonctionnalités limitées de remise en forme physique sont également implémentées sur l’eRosary.

Les chercheurs ont averti le fournisseur et les vulnérabilités ont été corrigées 36 jours plus tard, ce qui est étonnamment rapide. Néanmoins, même après le renforcement de la sécurité de l’appareil, les chercheurs pensent que ce n’est pas suffisant et continuent de chercher d’autres moyens de le compromettre.

L’appareil connecté eRosary a été lancé par le Vatican il y a une semaine et ne compte que quelques milliers d’utilisateurs, à en juger par le nombre de téléchargements de l’application associée.

tags


Auteur


Bitdefender

The meaning of Bitdefender’s mascot, the Dacian Draco, a symbol that depicts a mythical animal with a wolf’s head and a dragon’s body, is “to watch” and to “guard with a sharp eye.”

Voir toutes les publications

Vous pourriez également aimer

Marque-pages


loader