Несколько дней назад Ватикан рассказал об электронных четках, которые получили название «Click to Pray eRosary». Это высокотехнологичное устройство, которое работает по схожему с фитнес-трекерами принципу. Так, четки отслеживают количество пройденных шагов и общую дистанцию, которую преодолел пользователь. Но оно контролирует еще и отношение верующего к отправлению религиозных обрядов.

Устройство активируется, когда верующий начинает креститься. При этом девайс подключается к приложению с аудиоинструкциями, которые предназначены для молитв, там же есть и фотографии, видео и т.п. Для того, чтобы верующий не запутался, четки отмечают, какая молитва была произнесена и сколько раз. Все бы хорошо, но практически сразу после выхода четки взломал специалист по информационной безопасности, как оказалось, это несложно.

К слову, этот девайс вовсе не бесплатный, Ватикан продает его по $110, после активации устройство подключается к Папской всемирной сети молящихся (Pope's Worldwide Prayer Network).

Но, как оказалось, данные молящихся, которые используют электронные четки, могут стать легкой добычей злоумышленников. Проблему с защитой информации пользователей обнаружил французский специалист по информационной безопасности Баптист Роберт (Baptiste Robert). Он взломал четки (странное, конечно, сочетание слов — «взломать четки») из Ватикана всего за 15 минут. Уязвимость дает злоумышленнику контроль над учетной записью владельца устройства.

Для того, чтобы получить доступ к аккаунту, нужно лишь знать электронный адрес пользователя. «Эта уязвимость весьма существенная, поскольку позволяет атакующему получить контроль над аккаунтом и его персональными данными», — заявил Роберт.


Ватикан никаких комментариев относительно этой проблемы в СМИ не давал. Тем не менее, Роберт сумел связаться с представителем Ватикана, после чего уязвимость была исправлена. Как оказалось, суть проблемы была в обработке данных аутентификации пользователя.

Когда пользователь регистрировался в приложении «Click to Pray», указывая свой адрес электронной почты, в аккаунт приходило сообщение с пин-кодом. Пароль задавать не было необходимости. В дальнейшем логиниться нужно было именно таким образом — на почтовый адрес отправлялся пин, используя который пользователь мог начать работу с приложением.

Перед там, как проблема была исправлена, приложение отправляло PIN из четырех символов в незашифрованном виде. Получается, что при анализе сетевого трафика можно было без проблем перехватить пин и залогиниться.


Стильно, модно, молодежно

Роберт продемонстрировал уязвимость журналистам Cnet, которые создали аккаунт специально для теста проблемы. Эксперт получал управление над аккаунтом, а его создателей выбрасывало из учетной записи, при этом показывалось сообщение, что ее владелец залогинился с другого устройства. «Взломщик» мог делать с аккаунтом пользователя все, что угодно, уровень доступа ничем не отличался от уровня доступа самого владельца. Так, учетную запись можно было просто удалить.

Теперь этой проблемы нет, поскольку, как и говорилось выше, Ватикан исправил уязвимость. Но есть другая интересная особенность — приложение для Android запрашивает данные геолокации и права совершать звонки.

Комментарии (70)


  1. KorDen32
    20.10.2019 17:33

    приложение для Android запрашивает данные геолокации

    Для поиска BLE-устройств требуется ACCESS_FINE_LOCATION.


  1. SADKO
    20.10.2019 17:51
    +2

    Угу, а звонить оно будет на горячую линию Чего Хочет Бог :-)

    PS.а вообще так себе уязвимость, в сравнении с комплексом религиозных идей в голове пользователя такого гаджета.
    Тут надо бы проверить, не заменяет ли система данное при крещении имя, числом.
    И не используется ли в шифровании число зверя, а то купил чётки — душу диаволу продал >;@)


    1. corvair
      21.10.2019 05:27

      Прикинь, в БД наверняка имеется строка #666, все абоненты пронумерованы и кому-то достался именно этот номер :)


      1. iit
        21.10.2019 09:09

        Думаю id 6, 66, 666, 6666 и так далее уже прикрепили пользователю satan и забанили его


        1. artemisia_borealis
          21.10.2019 09:30

          Причём в восмеричной, десятичной и шестнадцатиричной системах.
          Для верности.


          1. Cerberuser
            21.10.2019 10:10
            +3

            … а потом оказалось, что Сатана был зарегистрирован под номером 616, но все были слишком увлечены современными интерпретациями, чтобы вспомнить каноничные сведения.


            1. agathis
              21.10.2019 10:57
              +1

              Хехе. В московском дептрансе работают прошаренные господа.
              Был автобус 666, в конце 90х его переименовали в 616


              1. slarionoff
                22.10.2019 19:08

                Я с другом даже ездил прокатиться в последний день перед перенумерацией.


  1. Antervis
    20.10.2019 18:02

    ну подумаешь взломали, и что? Они всё равно верят что большой брат следит за ними 100% времени


  1. mwambanatanga
    20.10.2019 18:49
    +4

    при анализе сетевого трафика можно было без проблем перехватить пин и залогиниться.
    И...? Помолиться вместо хозяина телефона?


    1. baldr
      20.10.2019 19:36

      Ну там проблема была в том, что девайс собирает личные данные пользователей. Которые всем нужны нынче. Причем, теперь оказывается, что еще и геоданные, да и звонить куда-то хочет.


    1. Tembl44
      21.10.2019 08:43

      Подсмотреть грехи


    1. solariserj
      21.10.2019 09:00

      накрутить лайки, т.е. Молитвы


  1. taliano
    20.10.2019 19:04
    +1

    А можно было зарядить ботов отмаливать грехи владельца учетки.

    Pope's Worldwide Prayer Network
    PVPN есть, а PVP пока нет, может в следующем релизе запилят.


    1. MilesSeventh
      20.10.2019 20:20

      *PWPN только


      1. Cerberuser
        21.10.2019 05:09

        Ну так PWP в этой среде уже давно имеется, если вы понимаете, о чём я...


      1. AlexanderAmelkin
        21.10.2019 18:36

        You've been pwpned ;)


    1. x67
      20.10.2019 20:21

      Вообще звучит как название секретной организации. Даже страшно становится, от того, что в мире есть такая и любой из твоего окружения может быть ее частью)


      1. aamonster
        20.10.2019 21:05

        О.Б.К.А. (O.W.C.A.)?


        1. HardWrMan
          20.10.2019 21:33

          В.О.О.Н. (F.O.W.L.)


  1. delvin-fil
    20.10.2019 21:31
    +1

    Баптист взломал католиков… ХМ…


    1. pehat
      21.10.2019 06:19

      Вообще-то если он француз, то зовут его Батист Робер.


      1. Sonatix
        21.10.2019 10:50
        +1

        Но, согласитесь, Баптист в контексте новости смешнее.


        1. AlexanderAmelkin
          21.10.2019 18:37

          Особенно, если учесть, что baptist = креститель.


      1. gluk47
        22.10.2019 01:51

        Если он француз, то и баптистов зовёт «батистами», всё по-прежнему сходится.


  1. oji
    21.10.2019 02:58

    Click to Pray

    Нужен вариант монетизации Pray to Win, для «солидных господ».


    1. DrunkBear
      21.10.2019 10:50

      Уже давно есть у католиков, называется «индульгенция».
      Как шутил один из католиков, «чем по-настоящему отличается православие, протестантизм и католичество? Прощением грехов: в православии нужно покаяться, в протестантизме — пойти и заработать кучу денег, а у католиков — купить индульгенцию.»


      1. nick_gabpe
        21.10.2019 12:32
        +1

        Эту багу давно пофиксили. Из Release notes «В 1567 году папа Пий V полностью запретил предоставление индульгенции за деньги и иные пожертвования».


        1. johnfound
          21.10.2019 13:29

          А просто так, бесплатно, можно?


          1. dimm_ddr
            22.10.2019 13:57

            В этом вообще смысл покаяния — ты рассказываешь какой ты плохой и тебя либо просто прощают, потому что ты на самом деле хороший потому что признал что был плохим и пообещал так больше не делать, либо (не уверен что это существует во всех ветвях) назначают наказание по выполнению которого тебя прощают — «искупил вину». Деньги за это заплатить можно, в виде пожертвования, но необязательно.


        1. DrunkBear
          21.10.2019 14:55
          +1

          Хм, полез уточнять — нашёл понятие

          Сверхдолжные дела
          Согласно учению Римско-Католической церкви, изложенному, например, Папой Римским Павлом VI в лат. «Indulgentiarum Doctrina» («Учении о индульгенции»[de]), многие великие святые для своего спасения трудились сверх меры; им достаточно было бы сделать гораздо меньше добрых дел для получения жизни вечной, но они не остановились на малом, а оставили Церкви неисчерпаемую сокровищницу заслуг — сокровищницу «сверхдолжных добрых дел» — чтобы грешники могли бы воспользоваться её богатствами для своего спасения. Распорядителем богатств из этой сокровищницы является Католическая церковь, в первую очередь в лице её главы, верховного иерарха — Папы Римского. В зависимости от усердия грешника Понтифик может брать богатства из сокровищницы и предоставлять их грешному человеку, поскольку своих собственных добрых дел для спасения у человека не хватает. С понятием «сверхдолжные заслуги» непосредственно связано понятие «индульгенция», когда человек за внесённую сумму освобождается от кары за свои собственные грехи или избавляет за деньги от кары за грехи своего умершего родственника или друга.


          1. nick_gabpe
            22.10.2019 17:16

            У меня сведений не факт что больше…


    1. Leeloush_Keer
      21.10.2019 13:04

      Pay2pray… уже есть


  1. Berks
    21.10.2019 04:33
    +1

    Вот у буддистов можно механизировать вращение молитвенного барабана, и такие молитвы всё равно засчитываются (правда, обезличенно, вроде бы). А на этих четках если программно сделать «накрутку» — засчитается?


    1. Tabke
      21.10.2019 07:34

      У буддистов заслуги пойдут тому, кто организовал механизацию, причем всем причастным к проекту. У католиков понятия кармы нету, все заслуги засчитывает лично Бог, а его обмануть, согласно их воззрениям, невозможно. Так что не прокатит.


      1. CrazyRoot
        21.10.2019 08:25
        +1

        Ну… можно же и в обратную сторону.
        У вас новое сообщение: — «Вы согрешили. Оправьте 1 биткон по адресу или прочтите Отче наш 200 раз»


        1. Tabke
          21.10.2019 08:34

          Сенсор грехов сделать, задача неординарная. Без нейросетей и глубокого обучения не обойтись. Можно предложить много забавных способов как эти нейросети обучать греху…


          1. johnfound
            21.10.2019 11:08

            А зачем? Можно просто random, несколько раз в сутки. По определению, каждый грешит постоянно (в мыслях например), так что молится всегда есть за что. ;)


          1. vchslv13
            21.10.2019 11:27

            А ведь отличная идея для научно-фантастического рассказа (или игры). Маленькая секта староверов на слабозаселённом спутнике одной из дальних планет солнечной системы с раннего детства подключает своим членам через нейроинтерфейс нейронную сеть, которая следит за всеми мыслями и действиями человека и «стучит» кому нужно при обнаружении любых признаков «греховных» мыслей или поведения. Конфликта только какого-то не хватает…


            1. Tabke
              21.10.2019 12:22

              Ну, как вариант, это конфликт заложенный в любую креационистскую религию. Раз Творец сотворил человека грешным, то вся ответственность за грех лежит не на человеке, а на самом Творце. Да и грех, это не грех, а часть великого замысла, т.е. богоугодное деяние.


              1. dimm_ddr
                22.10.2019 14:00

                Раз Творец сотворил человека грешным, то вся ответственность за грех лежит не на человеке, а на самом Творце.
                Он сотворил грешным, но и дал свободу воли — предполагается что человек должен искупить грех и больше его не совершать. Поэтому если человек не делает ни того, ни другого — вина таки на нем. Но там все равно очень много интересного. Особенно если ветхий завет учитывать.


                1. Tabke
                  22.10.2019 15:26

                  Он сотворил грешным, но и дал свободу воли

                  Это объяснение, которое может удовлетворить только верующего.
                  Если же взглянуть на проблему не предвзято и обобщенно, не ограничивая себя христианством. То либо Творец всемогущ и контролирует всё сущее, а это как бы основная причина поклонения ему как высшему в креационизме. А раз всё под его контролем, то и он несёт личную ответственность за всё.
                  Либо есть силы которые ему неподконтрольны, не под его властью. Но это ведёт нас к противоречию того рода, что значит он не является абсолютом, есть силы неподвластные ему, более высокая инстанция так сказать. То есть он не главный. Я имел в виду этот конфликт.
                  Это вообще было предложение литературного плана комментатору выше. Само-собой холиварить на эту тему непродуктивно и не имеет смысла.


                  1. dimm_ddr
                    22.10.2019 16:26

                    То либо Творец всемогущ и контролирует всё сущее
                    Из возможности контролировать все сущее (которая подразумевается всемогущестью) не следует контроль всего сущего. Утверждается что бог дал свободу воли — то есть отказался от контроля человека. Но он все еще может его контролировать — есть какое-то количество примеров вида «отвел руку» или «ужесточил сердце».
                    он несёт личную ответственность за всё
                    И он несет. Перед самим собой, не перед человеком. Но, так как человек предполагается самостоятельным — у него тоже есть ответственность. Но уже не только перед самим собой, так как есть бог который выше него. Ответственность вышестоящих не отменяет и не противоречит ответственности нижестоящих в случае когда на нижнем уровне тоже принимаются решения.
                    Если что — я не религиозный человек, мне просто было интересно разобраться в системе убеждений. Она на самом деле достаточно логична, основная проблема — невозможность предсказаний (связано с недоказуемостью) и спорность моральных убеждений в некоторых случаях. Понимаете, люди, особенно образованные — не идиоты. И они не были идиотами в прошедшие столетия. Поэтому система уже давно доработана так, что исключает очевидные противоречия.


                    1. Tabke
                      22.10.2019 16:46
                      +1

                      Из возможности контролировать все сущее (которая подразумевается всемогущестью) не следует контроль всего сущего.

                      Вообще-то следует, в этом идея абсолютного Творца. Если Творец что-то не контролирует, то он не всемогущ. Так-то всемогущество вообще невозможно с точки зрения логики, в самой концепции заложены логические парадоксы.
                      Просто вы, как мне кажется, рассуждаете с позиции человека. Люди да, что-то создают и потом не контролируют, но люди собственно находятся полностью во власти других сил, — законов физики там, химии, других людей.
                      Религия же базируется на некой абсолютной идее. Не имеющей что-либо более высшего порядка и являющейся точкой отсчета для всего. В креационистских религиях, это идея Творца. Он абсолютен, нет сил выше чем он, нет сил не подконтрольных ему, его никто/ничто не сотворил, а он сотворил всё. Как-то так.


                      1. Cerberuser
                        22.10.2019 19:09

                        Вообще-то следует, в этом идея абсолютного Творца. Если Творец что-то не контролирует, то он не всемогущ.

                        Не мог не вспомнить Бормора:


                        — Брось ты этот камень, — отмахнулся Мазукта. — Ну-ка, давай, вспомни определение всемогущества!
                        — <...> Всемогущество — это способность творить всё, что угодно. Так?
                        — Вот именно, — кивнул Мазукта. — Ключевое слово — «угодно». Угодно тебе сотворить камень — творишь камень. Не угодно его поднимать — не поднимаешь. Это и есть настоящее всемогущество.


                        1. Tabke
                          22.10.2019 20:22

                          Этот диалог, хоть и звучит пафосно и красиво, чем вызывает желание доверять написанному, на самом слишком материалистичный.
                          Быть рабом собственных желаний, уже означает не быть всемогущим. Всемогущий не может быть во власти эмоций по определению, потому что тогда получается что он даже собственные желания преодолеть не может, т.е. и не всемогущий вовсе.


                          1. Cerberuser
                            23.10.2019 06:59

                            Тогда возникает вопрос — а что, собственно, будет делать всемогущее (в Вашем определении) существо, кроме как, собственно, существовать? Ведь у него нет причин что-либо делать, раз, по Вашим же словам, любая мотивация ограничит это всемогущество.


                            1. Tabke
                              23.10.2019 10:05

                              Ну так о чем и речь. Настоящее всемогущество невозможно, если опираться на логику конечно.


                              1. Cerberuser
                                23.10.2019 10:43

                                Если его определить как нечто невозможное — то конечно, оно будет невозможным, просто в силу этого самого определения.


                                1. Tabke
                                  23.10.2019 10:49

                                  Определение заложено в этимологию слова, если что. Всемогущество — «мочь всё», если чего-то не мочь, то это уже не всемогущество, а просто могущество.


                      1. dimm_ddr
                        23.10.2019 12:04
                        +1

                        Вообще-то следует, в этом идея абсолютного Творца. Если Творец что-то не контролирует, то он не всемогущ.
                        Конечно же нет. Он не всемогущ если он не может это контролировать. Он может, но сознательно (насколько это слово в данном случае вообще применимо конечно) отказывается это делать в каких-то конкретных моментах. Могущество — это о возможностях, не о действиях. Так же как всемогущество подразумевает возможность уничтожить мир и создать новый. Но не подразумевает что нужно непрерывно этим заниматься.
                        Так-то всемогущество вообще невозможно с точки зрения логики, в самой концепции заложены логические парадоксы.
                        Поэтому заявляется что бог — непознаваем для человека. Логика — это человеческий инструмент, его область применения не распространяется на божественное.
                        Просто вы, как мне кажется, рассуждаете с позиции человека.
                        Нет, это именно вы рассуждаете с позиции человека. Я же рассматриваю божественное как нечто иное. Безотносительно того существует оно или нет — эта сущность(-ти) имеют, по религиозным убеждениям, достаточно своеобразные свойства. В частности, как я уже говорил — непознаваемость человеческим разумом. Из чего следует что инструменты познания которые использует человек — не работают в данном случае. Ну либо работают, но не так хорошо как в других, познаваемых областях.


                        1. Tabke
                          23.10.2019 12:16

                          непознаваемость человеческим разумом

                          Введение аксиоматических сущностей с выдуманными свойствами, это позиция верующего. Если вы стоите на такой позиции, то и обсуждать собственно нечего. Вера и логика несовместимы.


                        1. Nikoobraz
                          23.10.2019 13:12

                          Поэтому заявляется что бог — непознаваем для человека.

                          Какого черта непознаваем он, если создан человек по образу и подобию его? Очень даже познаваем, почти как обычный человек. Я даже больше скажу, именно потому человек и грешен, что создан по образу и подобию его. Вон даже Люцика он в ад скинул из-за обычной человеческой гордыни. Нашелся тут видите ли умник усомнившийся в том, что Господь тут первый парень на деревне. С чего вообще у кого-то могло взяться желание представлять его как нечто за гранями человеческого понимания?


                          1. Cerberuser
                            23.10.2019 13:34

                            Не прячьтесь, Падший, вы всё равно не сбежите от взгляда Малкавиана...


            1. HardWrMan
              23.10.2019 06:00

              Внезапно уже делают копию одного очень известного реалити-шоу, только с религиозным уклоном.


          1. CrazyRoot
            21.10.2019 13:20
            +1

            Мы все еще в контексте взломанных четок общаемся или уже нет? :)


          1. MTyrz
            21.10.2019 18:45

            Да ладно, следить на содержанием в крови нескольких белков — задача вполне решаемая.


            1. Wan-Derer
              22.10.2019 02:55

              Пффф… Пульс, частота дыхания, данные с акселерометра… И не надо лезть грязной иголкой в вену :)


              1. MTyrz
                22.10.2019 21:46

                Будет куча ложных срабатываний по легитимной деятельности, а так же сложно отловить греховные помышления. Мой метод точнее. И иголка не нужна, небольшого чипа должно хватить.


                1. Wan-Derer
                  23.10.2019 14:35

                  Ложные срабатывания это не страшно. Главное — есть повод обвинить в грехопадении. А доказывать что он не верблюд — дело поциента. Это ведь так у них работает?


                  1. MTyrz
                    23.10.2019 18:14

                    Ну, если взглянуть с этой стороны…
                    … То и сейчас неплохо, когда каждый грешен в общем-то по определению.

                    Кстати интересно, сейчас списки вопросов к исповеди используются ли, и что в них написано, если да?


        1. Nikoobraz
          21.10.2019 10:18

          Нельзя, как минимум из-за того, что бодипозитивисты и им сочувствующие SJW засудят папу за постоянные сообщения о совершении одного из смертных грехов.


          1. Cerberuser
            21.10.2019 10:35

            А он их — за несоблюдение правил добросовестного использования услуг связи (с Богом говорить хотят, а над собой работать — ни фига).


  1. makdoc
    21.10.2019 06:52

    Вспомнился фильм «Хотабыч»," Это ты взломал сервер(четки) господень?".


  1. PendalFF
    21.10.2019 08:19

    С другой стороны мусульмане давно пользуются всякими девайсами для религии, у них и компас на кибблу и счетчик поклонов кликерный при молитве (извините уж не знаю как там точно по терминологии называется) и приклад на телефон с вычислением дат и времен совершения разных обрядов. Католикам просто стало обидно:)


  1. Godless
    21.10.2019 09:14

    Ватикан никаких комментариев относительно этой проблемы в СМИ не давал. Тем не менее, Роберт сумел связаться с представителем Ватикана, после чего уязвимость была исправлена. Как оказалось, суть проблемы была в обработке данных аутентификации пользователя.

    Простите, Роберт Лэнгдон?))


  1. Revertis
    21.10.2019 11:11

    В 2014-ом, по-моему, где-то была статистика сайтов, распространяющих малварь. Так на первом месте были не порносайты, а сайты религиозной тематики. Никто информационной безопасностью там не занимается.


    1. corvair
      21.10.2019 12:47

      Тоже знакомился с этой статистикой, не удивлюсь, если такие сайты распространяют мальварь целенаправленно, это же отличная тематика для кликбейта. Туда же всё, что посвящено остальной оккультно-мистической тематике, теориям заговора.


  1. Amihailov
    21.10.2019 17:17

    Получается, что при анализе сетевого трафика можно было без проблем перехватить пин и залогиниться.

    Если я правильно понял этот перевод и оригинал — нужно «всего лишь» прослушать сетевой трафик пользователя? :)
    Вот это взлом так взлом. Ломаем вайфайчик жертвы (или заманиваем его в свой), устраиваем MiTM и всего делов! В крайнем случае устраиваемся работать к провайдеру жертвы или в спецслужбы страны жертвы, тоже раз плюнуть :)


    1. vchslv13
      21.10.2019 20:46

      Есть же многочисленные публичные точки доступа в кафе, ресторанах, парках и не удивлюсь если в соборах… Если там шифрование не использовалось, то всё вполне серьёзно, я думаю.