独占記事カトリック教会の最新の革新である電子ロザリオを支える技術は、あまりにも安全性に欠けており、簡単にハッキングされて信者の個人情報が抜き取られる可能性がある。
今週、1個わずか109ドル(85ポンド)で発売されたeRosaryは、10個の金属製ビーズと、Bluetooth対応でワイヤレス充電機能があり、動きに反応する金属製の十字架で構成されている。
着用者がロザリオで十字を切ると、ペアリングされたスマートフォンまたはタブレット上の「Click to Pray」アプリが起動します。このソフトウェアは、ロザリオの動き方や、つぶやくべき祈りの言葉を示唆します。また、神との対話の時間であることを信者に知らせる設定も可能です。
しかし、英国に拠点を置くFidus Information Securityの情報セキュリティ担当者は、iOSとAndroidで利用可能な「Click to Pray」アプリのバックエンドシステムに欠陥があることをすぐに発見しました。このセキュリティ上の脆弱性は、命を脅かすというより、むしろ恥ずかしいものです。
「ボッジ」
「当社の研究者の一人がコードを調べてみたところ、わずか10分で明らかな問題がいくつか見つかりました」と、Fidusの創設者アンドリュー・マビット氏は金曜日にThe Register紙に語った。「どうやら誰かがフィットネスバンドのアプリを既存のコードと組み合わせて、ユーザーアカウントをハッキング可能な状態にしたようです。」
この欠陥を発見したFidusのエキスパート、クリス氏は、2つの重要な問題があったと説明しました。まず、「Click to Pray」アプリをインストールすると、オンラインアカウントの作成を求められます。このプロフィールは4桁のPINで保護されています。そう、Click to Prayアプリから自分のプロフィールにログインするには、たった4桁のPINが必要です。無制限に再試行できるため、ブルートフォース攻撃は容易であり、プロセスを遅らせる仕組みもありません。
次に、アプリケーションはAPI呼び出し(sendPINとresetPIN)を介してバックエンドシステムと通信します。コードに脆弱性があり、このAPI経由でユーザーのメールアドレスを送信し、対応するアカウントPINを読み取り可能な形式で取得することが可能でした。つまり、誰かが他人のメールアドレスを送信した場合、もし存在するならば、対応するClick to Prayプロフィールにアクセスできてしまうということです。
フィダスは金曜日に自社のウェブサイトでさらに詳しい情報を公開した。
何百万人もの熱心な信者を持つ由緒ある宗派のボスが、由緒ある宗派のボスと出会う…そう、お分かりでしょう
続きを読む
The RegisterはSatanという名前でアプリ上にダミーアカウントを設定しましたが、案の定、Fidusチームに数分で乗っ取られました。アカウントには金融情報などの機密情報は保存されませんが、氏名や身体的特徴といった個人を特定できるデータは含まれています。カトリック教徒があまり多くない中国などの国では、こうしたデータが漏洩すると深刻な被害をもたらす可能性があります。
ローマ教皇の世界規模の祈りのネットワークの国際ディレクターであるフレデリック・フォルノス神父は、ザ・レジスター紙に対し、木曜日にフィダスからセキュリティ上の弱点について警告を受けるとすぐに、バチカンのプログラマーに修正作業を指示し、奇跡に奇跡を重ねて24時間以内にセキュリティホールを修復すると誓ったと語った。
Fidusによると、開発者たちはすでにソフトウェアをある程度強化しているとのこと。「彼らは(APIの)問題を修正しましたが、非常に複雑な方法で修正しました」とMabbitt氏は語った。
「API呼び出しが行われると、(返送されたデータから)4桁のPINコードを抽出することはできなくなります。しかし、PINコードの総当たり攻撃に対する防御策はまだありませんので、依然として選択肢として残っています。」
バチカンの広報担当者はThe Registerに対し、APIの欠陥はエリオット・アルダーソンという仮名のセキュリティ研究者によっても発見されたと述べた。アルダーソンはフィダス氏と同様に、非公開でバグを報告しただけでなく、問題を修正するためのコードをバチカンに送付した。アルダーソン氏の報告書全文はこちら[PDF]で読むことができる。
eRosaryは発表されたばかりなので、Androidストアの統計情報から判断すると、まだ数千人しか使っていません。アプリが完全に修正されるまで、電子的な祈りのモニタリングが必要だと感じる人は、使用を控え、より伝統的な信仰の実践方法に固執するべきです。®
追加更新
バチカンの広報担当者は、ブルートフォース攻撃の問題は解決したことを確認した。
