«У вас нет доступа к текущей молитве»: hi-tech четки из Ватикана взломали за 15 минут


    Несколько дней назад Ватикан рассказал об электронных четках, которые получили название «Click to Pray eRosary». Это высокотехнологичное устройство, которое работает по схожему с фитнес-трекерами принципу. Так, четки отслеживают количество пройденных шагов и общую дистанцию, которую преодолел пользователь. Но оно контролирует еще и отношение верующего к отправлению религиозных обрядов.

    Устройство активируется, когда верующий начинает креститься. При этом девайс подключается к приложению с аудиоинструкциями, которые предназначены для молитв, там же есть и фотографии, видео и т.п. Для того, чтобы верующий не запутался, четки отмечают, какая молитва была произнесена и сколько раз. Все бы хорошо, но практически сразу после выхода четки взломал специалист по информационной безопасности, как оказалось, это несложно.

    К слову, этот девайс вовсе не бесплатный, Ватикан продает его по $110, после активации устройство подключается к Папской всемирной сети молящихся (Pope's Worldwide Prayer Network).

    Но, как оказалось, данные молящихся, которые используют электронные четки, могут стать легкой добычей злоумышленников. Проблему с защитой информации пользователей обнаружил французский специалист по информационной безопасности Баптист Роберт (Baptiste Robert). Он взломал четки (странное, конечно, сочетание слов — «взломать четки») из Ватикана всего за 15 минут. Уязвимость дает злоумышленнику контроль над учетной записью владельца устройства.

    Для того, чтобы получить доступ к аккаунту, нужно лишь знать электронный адрес пользователя. «Эта уязвимость весьма существенная, поскольку позволяет атакующему получить контроль над аккаунтом и его персональными данными», — заявил Роберт.


    Ватикан никаких комментариев относительно этой проблемы в СМИ не давал. Тем не менее, Роберт сумел связаться с представителем Ватикана, после чего уязвимость была исправлена. Как оказалось, суть проблемы была в обработке данных аутентификации пользователя.

    Когда пользователь регистрировался в приложении «Click to Pray», указывая свой адрес электронной почты, в аккаунт приходило сообщение с пин-кодом. Пароль задавать не было необходимости. В дальнейшем логиниться нужно было именно таким образом — на почтовый адрес отправлялся пин, используя который пользователь мог начать работу с приложением.

    Перед там, как проблема была исправлена, приложение отправляло PIN из четырех символов в незашифрованном виде. Получается, что при анализе сетевого трафика можно было без проблем перехватить пин и залогиниться.


    Стильно, модно, молодежно

    Роберт продемонстрировал уязвимость журналистам Cnet, которые создали аккаунт специально для теста проблемы. Эксперт получал управление над аккаунтом, а его создателей выбрасывало из учетной записи, при этом показывалось сообщение, что ее владелец залогинился с другого устройства. «Взломщик» мог делать с аккаунтом пользователя все, что угодно, уровень доступа ничем не отличался от уровня доступа самого владельца. Так, учетную запись можно было просто удалить.

    Теперь этой проблемы нет, поскольку, как и говорилось выше, Ватикан исправил уязвимость. Но есть другая интересная особенность — приложение для Android запрашивает данные геолокации и права совершать звонки.
    Madrobots
    211,90
    Приближаем сингулярность за ваши деньги
    Поделиться публикацией

    Комментарии 84

      +12
      приложение для Android запрашивает данные геолокации

      Для поиска BLE-устройств требуется ACCESS_FINE_LOCATION.
        +16
        Угу, а звонить оно будет на горячую линию Чего Хочет Бог :-)

        PS.а вообще так себе уязвимость, в сравнении с комплексом религиозных идей в голове пользователя такого гаджета.
        Тут надо бы проверить, не заменяет ли система данное при крещении имя, числом.
        И не используется ли в шифровании число зверя, а то купил чётки — душу диаволу продал >;@)
          +2

          Прикинь, в БД наверняка имеется строка #666, все абоненты пронумерованы и кому-то достался именно этот номер :)

            +4

            Думаю id 6, 66, 666, 6666 и так далее уже прикрепили пользователю satan и забанили его

              +3
              Причём в восмеричной, десятичной и шестнадцатиричной системах.
              Для верности.
                +5

                … а потом оказалось, что Сатана был зарегистрирован под номером 616, но все были слишком увлечены современными интерпретациями, чтобы вспомнить каноничные сведения.

                  +6

                  Хехе. В московском дептрансе работают прошаренные господа.
                  Был автобус 666, в конце 90х его переименовали в 616

                    0
                    Я с другом даже ездил прокатиться в последний день перед перенумерацией.
          +10
          ну подумаешь взломали, и что? Они всё равно верят что большой брат следит за ними 100% времени
            +20
            при анализе сетевого трафика можно было без проблем перехватить пин и залогиниться.
            И...? Помолиться вместо хозяина телефона?
              0
              Ну там проблема была в том, что девайс собирает личные данные пользователей. Которые всем нужны нынче. Причем, теперь оказывается, что еще и геоданные, да и звонить куда-то хочет.
                +2
                Подсмотреть грехи
                  0
                  накрутить лайки, т.е. Молитвы
                  +4
                  А можно было зарядить ботов отмаливать грехи владельца учетки.
                  Pope's Worldwide Prayer Network
                  PVPN есть, а PVP пока нет, может в следующем релизе запилят.
                    0

                    *PWPN только

                      0

                      Ну так PWP в этой среде уже давно имеется, если вы понимаете, о чём я...

                        +1
                        You've been pwpned ;)
                        0

                        Вообще звучит как название секретной организации. Даже страшно становится, от того, что в мире есть такая и любой из твоего окружения может быть ее частью)

                          0

                          О.Б.К.А. (O.W.C.A.)?

                            0
                            В.О.О.Н. (F.O.W.L.)
                        +5
                        Баптист взломал католиков… ХМ…
                          +2

                          Вообще-то если он француз, то зовут его Батист Робер.

                            +3
                            Но, согласитесь, Баптист в контексте новости смешнее.
                              +1
                              Особенно, если учесть, что baptist = креститель.
                              0
                              Если он француз, то и баптистов зовёт «батистами», всё по-прежнему сходится.
                            +3
                            Click to Pray

                            Нужен вариант монетизации Pray to Win, для «солидных господ».
                              0
                              Уже давно есть у католиков, называется «индульгенция».
                              Как шутил один из католиков, «чем по-настоящему отличается православие, протестантизм и католичество? Прощением грехов: в православии нужно покаяться, в протестантизме — пойти и заработать кучу денег, а у католиков — купить индульгенцию.»
                                +4
                                Эту багу давно пофиксили. Из Release notes «В 1567 году папа Пий V полностью запретил предоставление индульгенции за деньги и иные пожертвования».
                                  0

                                  А просто так, бесплатно, можно?

                                    0
                                    В этом вообще смысл покаяния — ты рассказываешь какой ты плохой и тебя либо просто прощают, потому что ты на самом деле хороший потому что признал что был плохим и пообещал так больше не делать, либо (не уверен что это существует во всех ветвях) назначают наказание по выполнению которого тебя прощают — «искупил вину». Деньги за это заплатить можно, в виде пожертвования, но необязательно.
                                      0

                                      Вот только результат будет известен после смерти… И без права на исправление ;)

                                    +1
                                    Хм, полез уточнять — нашёл понятие
                                    Сверхдолжные дела
                                    Согласно учению Римско-Католической церкви, изложенному, например, Папой Римским Павлом VI в лат. «Indulgentiarum Doctrina» («Учении о индульгенции»[de]), многие великие святые для своего спасения трудились сверх меры; им достаточно было бы сделать гораздо меньше добрых дел для получения жизни вечной, но они не остановились на малом, а оставили Церкви неисчерпаемую сокровищницу заслуг — сокровищницу «сверхдолжных добрых дел» — чтобы грешники могли бы воспользоваться её богатствами для своего спасения. Распорядителем богатств из этой сокровищницы является Католическая церковь, в первую очередь в лице её главы, верховного иерарха — Папы Римского. В зависимости от усердия грешника Понтифик может брать богатства из сокровищницы и предоставлять их грешному человеку, поскольку своих собственных добрых дел для спасения у человека не хватает. С понятием «сверхдолжные заслуги» непосредственно связано понятие «индульгенция», когда человек за внесённую сумму освобождается от кары за свои собственные грехи или избавляет за деньги от кары за грехи своего умершего родственника или друга.

                                    Инквизицию тоже распустили, а Конгрегация доктрины веры осталась.
                                    PS к богословской дискуссии не готов, если вы имеете больше сведений и я не прав — так и скажите. Я всё-таки не настоящий сварщик.
                                      0
                                      У меня сведений не факт что больше…
                                  0

                                  Pay2pray… уже есть

                                    +1
                                    Нужен вариант монетизации Pray to Win, для «солидных господ».

                                    А для ленивых опция Plug and Pray
                                      0
                                      PnP было уже давно. Еще на закате 90х я помню, что втыкаешь карту в комп и молишься, чтобы она заработала…
                                        0

                                        Тю. Лет за 10 до этого такое было с дискетами.

                                          0
                                          Тю. С дискетами такое было на протяжении всей их жизни, так что ничего необычного.
                                        0
                                        dup
                                      +1
                                      Вот у буддистов можно механизировать вращение молитвенного барабана, и такие молитвы всё равно засчитываются (правда, обезличенно, вроде бы). А на этих четках если программно сделать «накрутку» — засчитается?
                                        0
                                        У буддистов заслуги пойдут тому, кто организовал механизацию, причем всем причастным к проекту. У католиков понятия кармы нету, все заслуги засчитывает лично Бог, а его обмануть, согласно их воззрениям, невозможно. Так что не прокатит.
                                          +2
                                          Ну… можно же и в обратную сторону.
                                          У вас новое сообщение: — «Вы согрешили. Оправьте 1 биткон по адресу или прочтите Отче наш 200 раз»
                                            +2
                                            Сенсор грехов сделать, задача неординарная. Без нейросетей и глубокого обучения не обойтись. Можно предложить много забавных способов как эти нейросети обучать греху…
                                              +2

                                              А зачем? Можно просто random, несколько раз в сутки. По определению, каждый грешит постоянно (в мыслях например), так что молится всегда есть за что. ;)

                                                0
                                                А ведь отличная идея для научно-фантастического рассказа (или игры). Маленькая секта староверов на слабозаселённом спутнике одной из дальних планет солнечной системы с раннего детства подключает своим членам через нейроинтерфейс нейронную сеть, которая следит за всеми мыслями и действиями человека и «стучит» кому нужно при обнаружении любых признаков «греховных» мыслей или поведения. Конфликта только какого-то не хватает…
                                                  0
                                                  Ну, как вариант, это конфликт заложенный в любую креационистскую религию. Раз Творец сотворил человека грешным, то вся ответственность за грех лежит не на человеке, а на самом Творце. Да и грех, это не грех, а часть великого замысла, т.е. богоугодное деяние.
                                                    0
                                                    Раз Творец сотворил человека грешным, то вся ответственность за грех лежит не на человеке, а на самом Творце.
                                                    Он сотворил грешным, но и дал свободу воли — предполагается что человек должен искупить грех и больше его не совершать. Поэтому если человек не делает ни того, ни другого — вина таки на нем. Но там все равно очень много интересного. Особенно если ветхий завет учитывать.
                                                      0
                                                      Он сотворил грешным, но и дал свободу воли

                                                      Это объяснение, которое может удовлетворить только верующего.
                                                      Если же взглянуть на проблему не предвзято и обобщенно, не ограничивая себя христианством. То либо Творец всемогущ и контролирует всё сущее, а это как бы основная причина поклонения ему как высшему в креационизме. А раз всё под его контролем, то и он несёт личную ответственность за всё.
                                                      Либо есть силы которые ему неподконтрольны, не под его властью. Но это ведёт нас к противоречию того рода, что значит он не является абсолютом, есть силы неподвластные ему, более высокая инстанция так сказать. То есть он не главный. Я имел в виду этот конфликт.
                                                      Это вообще было предложение литературного плана комментатору выше. Само-собой холиварить на эту тему непродуктивно и не имеет смысла.
                                                        0
                                                        То либо Творец всемогущ и контролирует всё сущее
                                                        Из возможности контролировать все сущее (которая подразумевается всемогущестью) не следует контроль всего сущего. Утверждается что бог дал свободу воли — то есть отказался от контроля человека. Но он все еще может его контролировать — есть какое-то количество примеров вида «отвел руку» или «ужесточил сердце».
                                                        он несёт личную ответственность за всё
                                                        И он несет. Перед самим собой, не перед человеком. Но, так как человек предполагается самостоятельным — у него тоже есть ответственность. Но уже не только перед самим собой, так как есть бог который выше него. Ответственность вышестоящих не отменяет и не противоречит ответственности нижестоящих в случае когда на нижнем уровне тоже принимаются решения.
                                                        Если что — я не религиозный человек, мне просто было интересно разобраться в системе убеждений. Она на самом деле достаточно логична, основная проблема — невозможность предсказаний (связано с недоказуемостью) и спорность моральных убеждений в некоторых случаях. Понимаете, люди, особенно образованные — не идиоты. И они не были идиотами в прошедшие столетия. Поэтому система уже давно доработана так, что исключает очевидные противоречия.
                                                          +1
                                                          Из возможности контролировать все сущее (которая подразумевается всемогущестью) не следует контроль всего сущего.

                                                          Вообще-то следует, в этом идея абсолютного Творца. Если Творец что-то не контролирует, то он не всемогущ. Так-то всемогущество вообще невозможно с точки зрения логики, в самой концепции заложены логические парадоксы.
                                                          Просто вы, как мне кажется, рассуждаете с позиции человека. Люди да, что-то создают и потом не контролируют, но люди собственно находятся полностью во власти других сил, — законов физики там, химии, других людей.
                                                          Религия же базируется на некой абсолютной идее. Не имеющей что-либо более высшего порядка и являющейся точкой отсчета для всего. В креационистских религиях, это идея Творца. Он абсолютен, нет сил выше чем он, нет сил не подконтрольных ему, его никто/ничто не сотворил, а он сотворил всё. Как-то так.
                                                            0
                                                            Вообще-то следует, в этом идея абсолютного Творца. Если Творец что-то не контролирует, то он не всемогущ.

                                                            Не мог не вспомнить Бормора:


                                                            — Брось ты этот камень, — отмахнулся Мазукта. — Ну-ка, давай, вспомни определение всемогущества!
                                                            — <...> Всемогущество — это способность творить всё, что угодно. Так?
                                                            — Вот именно, — кивнул Мазукта. — Ключевое слово — «угодно». Угодно тебе сотворить камень — творишь камень. Не угодно его поднимать — не поднимаешь. Это и есть настоящее всемогущество.
                                                              0
                                                              Этот диалог, хоть и звучит пафосно и красиво, чем вызывает желание доверять написанному, на самом слишком материалистичный.
                                                              Быть рабом собственных желаний, уже означает не быть всемогущим. Всемогущий не может быть во власти эмоций по определению, потому что тогда получается что он даже собственные желания преодолеть не может, т.е. и не всемогущий вовсе.
                                                                0

                                                                Тогда возникает вопрос — а что, собственно, будет делать всемогущее (в Вашем определении) существо, кроме как, собственно, существовать? Ведь у него нет причин что-либо делать, раз, по Вашим же словам, любая мотивация ограничит это всемогущество.

                                                                  0
                                                                  Ну так о чем и речь. Настоящее всемогущество невозможно, если опираться на логику конечно.
                                                                    0

                                                                    Если его определить как нечто невозможное — то конечно, оно будет невозможным, просто в силу этого самого определения.

                                                                      0
                                                                      Определение заложено в этимологию слова, если что. Всемогущество — «мочь всё», если чего-то не мочь, то это уже не всемогущество, а просто могущество.
                                                              +1
                                                              Вообще-то следует, в этом идея абсолютного Творца. Если Творец что-то не контролирует, то он не всемогущ.
                                                              Конечно же нет. Он не всемогущ если он не может это контролировать. Он может, но сознательно (насколько это слово в данном случае вообще применимо конечно) отказывается это делать в каких-то конкретных моментах. Могущество — это о возможностях, не о действиях. Так же как всемогущество подразумевает возможность уничтожить мир и создать новый. Но не подразумевает что нужно непрерывно этим заниматься.
                                                              Так-то всемогущество вообще невозможно с точки зрения логики, в самой концепции заложены логические парадоксы.
                                                              Поэтому заявляется что бог — непознаваем для человека. Логика — это человеческий инструмент, его область применения не распространяется на божественное.
                                                              Просто вы, как мне кажется, рассуждаете с позиции человека.
                                                              Нет, это именно вы рассуждаете с позиции человека. Я же рассматриваю божественное как нечто иное. Безотносительно того существует оно или нет — эта сущность(-ти) имеют, по религиозным убеждениям, достаточно своеобразные свойства. В частности, как я уже говорил — непознаваемость человеческим разумом. Из чего следует что инструменты познания которые использует человек — не работают в данном случае. Ну либо работают, но не так хорошо как в других, познаваемых областях.
                                                                0
                                                                непознаваемость человеческим разумом

                                                                Введение аксиоматических сущностей с выдуманными свойствами, это позиция верующего. Если вы стоите на такой позиции, то и обсуждать собственно нечего. Вера и логика несовместимы.
                                                                  0
                                                                  это позиция верующего
                                                                  Внезапно именно это я и пытаюсь вам описать — почему у верующих нет в их системе противоречий.
                                                                  Но введение аксиоматических сущностей — это вообще совершенно нормальная практика. Я посмотрел бы как бы вы без выдуманной аксиоматики с выдуманными свойствами хоть что-то сделали бы в математике. Там в принципе иначе не получается.
                                                                  0
                                                                  Поэтому заявляется что бог — непознаваем для человека.

                                                                  Какого черта непознаваем он, если создан человек по образу и подобию его? Очень даже познаваем, почти как обычный человек. Я даже больше скажу, именно потому человек и грешен, что создан по образу и подобию его. Вон даже Люцика он в ад скинул из-за обычной человеческой гордыни. Нашелся тут видите ли умник усомнившийся в том, что Господь тут первый парень на деревне. С чего вообще у кого-то могло взяться желание представлять его как нечто за гранями человеческого понимания?
                                                                    0

                                                                    Не прячьтесь, Падший, вы всё равно не сбежите от взгляда Малкавиана...

                                                                      0
                                                                      Какого черта непознаваем он, если создан человек по образу и подобию его?
                                                                      Очень просто — по образу и подобию не значит в точности таким же. Точно так же как рисунок кошки подобен кошке, но не обладает всеми свойствами животного. Никто и нигде не утверждает что человек — точная копия.
                                                                        0
                                                                        Верно, вопрос лишь в степени подобия. Вот насколько подобен робот Фёдор человеку, например?
                                                                          0
                                                                          И тем не менее, если проследить поведение Господа, и его деяния, в них легко узнается «человечность». Так что непознаваемым он не является.
                                                                            0
                                                                            Из очевидности или понимания какой-то части деяний бога не следует очевидность или вообще возможность понимания всего остального. СОбственно об этом и говориться в подобии — в чем-то люди похожи на него, это ожидаемо в таких условиях. Просто не во всем.
                                                            0
                                                            Внезапно уже делают копию одного очень известного реалити-шоу, только с религиозным уклоном.
                                                            +1
                                                            Мы все еще в контексте взломанных четок общаемся или уже нет? :)
                                                              0
                                                              Да ладно, следить на содержанием в крови нескольких белков — задача вполне решаемая.
                                                                0

                                                                Пффф… Пульс, частота дыхания, данные с акселерометра… И не надо лезть грязной иголкой в вену :)

                                                                  0
                                                                  Будет куча ложных срабатываний по легитимной деятельности, а так же сложно отловить греховные помышления. Мой метод точнее. И иголка не нужна, небольшого чипа должно хватить.
                                                                    0

                                                                    Ложные срабатывания это не страшно. Главное — есть повод обвинить в грехопадении. А доказывать что он не верблюд — дело поциента. Это ведь так у них работает?

                                                                      0
                                                                      Ну, если взглянуть с этой стороны…
                                                                      … То и сейчас неплохо, когда каждый грешен в общем-то по определению.

                                                                      Кстати интересно, сейчас списки вопросов к исповеди используются ли, и что в них написано, если да?
                                                                0
                                                                Кажется я придумал сюжет для нового триллера о техногенной катастрофе)
                                                                0
                                                                Нельзя, как минимум из-за того, что бодипозитивисты и им сочувствующие SJW засудят папу за постоянные сообщения о совершении одного из смертных грехов.
                                                                  0

                                                                  А он их — за несоблюдение правил добросовестного использования услуг связи (с Богом говорить хотят, а над собой работать — ни фига).

                                                            0
                                                            Вспомнился фильм «Хотабыч»," Это ты взломал сервер(четки) господень?".
                                                              0
                                                              С другой стороны мусульмане давно пользуются всякими девайсами для религии, у них и компас на кибблу и счетчик поклонов кликерный при молитве (извините уж не знаю как там точно по терминологии называется) и приклад на телефон с вычислением дат и времен совершения разных обрядов. Католикам просто стало обидно:)
                                                                +4
                                                                Ватикан никаких комментариев относительно этой проблемы в СМИ не давал. Тем не менее, Роберт сумел связаться с представителем Ватикана, после чего уязвимость была исправлена. Как оказалось, суть проблемы была в обработке данных аутентификации пользователя.

                                                                Простите, Роберт Лэнгдон?))
                                                                  0
                                                                  В 2014-ом, по-моему, где-то была статистика сайтов, распространяющих малварь. Так на первом месте были не порносайты, а сайты религиозной тематики. Никто информационной безопасностью там не занимается.
                                                                    0

                                                                    Тоже знакомился с этой статистикой, не удивлюсь, если такие сайты распространяют мальварь целенаправленно, это же отличная тематика для кликбейта. Туда же всё, что посвящено остальной оккультно-мистической тематике, теориям заговора.

                                                                    0
                                                                    Получается, что при анализе сетевого трафика можно было без проблем перехватить пин и залогиниться.

                                                                    Если я правильно понял этот перевод и оригинал — нужно «всего лишь» прослушать сетевой трафик пользователя? :)
                                                                    Вот это взлом так взлом. Ломаем вайфайчик жертвы (или заманиваем его в свой), устраиваем MiTM и всего делов! В крайнем случае устраиваемся работать к провайдеру жертвы или в спецслужбы страны жертвы, тоже раз плюнуть :)
                                                                      0
                                                                      Есть же многочисленные публичные точки доступа в кафе, ресторанах, парках и не удивлюсь если в соборах… Если там шифрование не использовалось, то всё вполне серьёзно, я думаю.
                                                                      0
                                                                      и будет так — вечером еще был католиком, а проснулся мусульманином и получаешь на почту избранные главы из Корана
                                                                        0
                                                                        Так Ватикан и до идеи Папского Мейнфрейма дойдёт

                                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                        Самое читаемое