En un intento por llegar a los millenials (y reconozcámoslo, una brillante campaña de marketing) el Vaticano presentó la semana pasada el iRosary, un rosario conectado a una aplicación para rezar. El problema está en que este rosario tiene una app que es muy insegura, capaz de filtrar datos personales.

La aplicación avisa y une a todos los usuarios dentro de la Red Mundial de Oración del Papa, que en esencia contabiliza la cantidad de personas que rezan. Además sirve como contabilizador de pasos y calorías que puede verse desde su aplicación.

La aplicación filtra la contraseña de acceso que permite ver toda la información del creyente

La aplicación que acompaña este rosario permite registrarse con un correo y una contraseña como cualquier otra red social, pero el problema es la poca seguridad de la aplicación, como descubrió Baptiste Robert, más conocido en redes sociales como @fs0c131y.

Revisando su aplicación para Android en solo 15 minutos descubrió un problema con la forma que tiene para iniciar sesión la aplicación de iRosary.

Para acceder tienes que usar un correo electrónico donde se enviará un código de 4 dígitos para acceder.

El problema es que ese código también se envía mediante internet a la propia aplicación, por lo que si alguien está espiando la red donde está conectada la aplicación, puede ver de forma muy sencilla la cadena enviada donde se incluye el correo electrónico y el código PIN para acceder a la cuenta.

Una vez accediendo a la cuenta, se puede conseguir el token del usuario y realizar toda clase de cambios, incluso borrar cuentas o copiar toda la información que se almacene.

También encontró el mismo problema la consultora de seguridad Fidus, demostrando exactamente el mismo problema y modo de ataque.

+ Info | Cnet



>

Source link