Nuovi problemi per il Vaticano: eRosary è già stato violato ed ha problemi di sicurezza?

Click to Pray eRosary è un dispositivo intelligente che funziona come una sorta di Fitbit per la preghiera – e anche come un semplice vecchio Fitbit, in un certo senso.

Si attiva quando si fa il segno della croce e tiene traccia di passi, calorie e posizione.

Quando desideri pregare, puoi usare l’app Click to Pray per scegliere un rosario particolare. Secondo il comunicato stampa pubblicato sul sito ufficiale del Vaticano , ” Una volta iniziata la preghiera, il rosario intelligente mostra i progressi dell’utente attraverso i diversi misteri e tiene traccia di ogni rosario completato”.

L’app, dove il Papa sembra mantenere un profilo defilato collega migliaia di persone intorno il globo per pregare ogni giorno.

L’eRosary Click To Pray ha anche lo scopo di accompagnarlo nelle sue intenzioni quotidiane e mensili al fine di costruire un mondo con il gusto del Vangelo ”.

Sembra abbastanza innocuo, ma almeno un ricercatore di sicurezza ha scoperto un difetto di sicurezza nell’app durante il fine settimana.

Fidus Information Security, una società britannica, apparentemente ha scoperto la vulnerabilità in pochi minuti dal lancio dell’app.

La ricercatrice di sicurezza Elliot Alderson lo ha dimostrato a CNET . Al posto di una password, l’app invia un PIN al tuo indirizzo e-mail registrato, che usi per accedere.

A meno di 5 minuti dall’esame dell’applicazione eRosary, il nostro team di ricerca ha sviluppato un exploit di acquisizione dell’account completo. Può ottenere e-mail, numeri di telefono, altezza, peso e altri dati personali. Questo è stato segnalato. Fortunatamente è così nuovo che non è ancora allo stato brado. pic.twitter.com/XpqYqDpgC2

– Fidus InfoSecurity (@FidusInfoSec) 17 ottobre 2019

Il problema è che il codice PIN può essere visualizzato anche da chiunque possa vedere il traffico dell’app, poiché sarebbe contenuto nella risposta dell’API.

Quindi, in teoria, potresti vedere il PIN senza bisogno di accedere all’account e-mail. La richiesta di un PIN apparentemente ti disconnette anche dalla tua sessione nell’app, il che significa che una persona potrebbe essere cacciata e non essere in grado di accedere nuovamente perché qualcuno sta già utilizzando un PIN richiesto.

La persona che ha avuto accesso al tuo account sarebbe in grado di vedere qualsiasi informazione lì, comprese le tue preghiere, i tuoi passi, ecc.

Secondo CNET , il problema è stato già  risolto anche se Alderson ha dovuto assillare il Vaticano riguardo alla questione, ma alla fine qualcuno sembra che lo abbia ascolato, per fortuna.

The Register riporta che sia Alderson che Fidus hanno segnalato la vulnerabilità all’incirca nello stesso momento, il che è, ancora una volta, entro un giorno dalla data in cui l’app diventa ampiamente disponibile.

Elliot ha riscontrato una vulnerabilità in un’app appena rilasciata liberamente collegata al mio ufficio.

Era persistente nel trovare qualcuno in Vaticano con cui poter discutere delle sue scoperte.

Ha fornito tutto il necessario per correggere la vulnerabilità. https://t.co/CVn07tOEDF

– P. Robert R. Ballecer, SJ (@padresj) 18 ottobre 2019

Sono sicuro che ci sia una sorta di ironia in un oggetto che dovrebbe aiutare i fedeli a sentirsi più a loro agio e sicuri che invece diventa pericolosamente insicuro.

Tuttavia, non è così insolito per un dispositivo indossabile, ed è bello sapere che la situazione è stata seguita.

Non siamo comunque abbastanza ottimisti da pensare che sia l’ultima volta che sentiremo parlare di qualcosa del genere.