Несколько дней назад Ватикан рассказал об электронных четках, которые получили название «Click to Pray eRosary». Это высокотехнологичное устройство, которое работает по схожему с фитнес-трекерами принципу. Так, четки отслеживают количество пройденных шагов и общую дистанцию, которую преодолел пользователь. Но оно контролирует еще и отношение верующего к отправлению религиозных обрядов.
Устройство активируется, когда верующий начинает креститься. При этом девайс подключается к приложению с аудиоинструкциями, которые предназначены для молитв, там же есть и фотографии, видео и т.п. Для того, чтобы верующий не запутался, четки отмечают, какая молитва была произнесена и сколько раз. Все бы хорошо, но практически сразу после выхода четки взломал специалист по информационной безопасности, как оказалось, это несложно.
К слову, этот девайс вовсе не бесплатный, Ватикан продает его по $110, после активации устройство подключается к Папской всемирной сети молящихся (Pope's Worldwide Prayer Network).
Но, как оказалось, данные молящихся, которые используют электронные четки, могут стать легкой добычей злоумышленников. Проблему с защитой информации пользователей обнаружил французский специалист по информационной безопасности Баптист Роберт (Baptiste Robert). Он взломал четки (странное, конечно, сочетание слов — «взломать четки») из Ватикана всего за 15 минут. Уязвимость дает злоумышленнику контроль над учетной записью владельца устройства.
Для того, чтобы получить доступ к аккаунту, нужно лишь знать электронный адрес пользователя. «Эта уязвимость весьма существенная, поскольку позволяет атакующему получить контроль над аккаунтом и его персональными данными», — заявил Роберт.
Ватикан никаких комментариев относительно этой проблемы в СМИ не давал. Тем не менее, Роберт сумел связаться с представителем Ватикана, после чего уязвимость была исправлена. Как оказалось, суть проблемы была в обработке данных аутентификации пользователя.
Когда пользователь регистрировался в приложении «Click to Pray», указывая свой адрес электронной почты, в аккаунт приходило сообщение с пин-кодом. Пароль задавать не было необходимости. В дальнейшем логиниться нужно было именно таким образом — на почтовый адрес отправлялся пин, используя который пользователь мог начать работу с приложением.
Перед там, как проблема была исправлена, приложение отправляло PIN из четырех символов в незашифрованном виде. Получается, что при анализе сетевого трафика можно было без проблем перехватить пин и залогиниться.
Стильно, модно, молодежно
Роберт продемонстрировал уязвимость журналистам Cnet, которые создали аккаунт специально для теста проблемы. Эксперт получал управление над аккаунтом, а его создателей выбрасывало из учетной записи, при этом показывалось сообщение, что ее владелец залогинился с другого устройства. «Взломщик» мог делать с аккаунтом пользователя все, что угодно, уровень доступа ничем не отличался от уровня доступа самого владельца. Так, учетную запись можно было просто удалить.
Теперь этой проблемы нет, поскольку, как и говорилось выше, Ватикан исправил уязвимость. Но есть другая интересная особенность — приложение для Android запрашивает данные геолокации и права совершать звонки.
Комментарии (70)
SADKO
20.10.2019 17:51+2Угу, а звонить оно будет на горячую линию Чего Хочет Бог :-)
PS.а вообще так себе уязвимость, в сравнении с комплексом религиозных идей в голове пользователя такого гаджета.
Тут надо бы проверить, не заменяет ли система данное при крещении имя, числом.
И не используется ли в шифровании число зверя, а то купил чётки — душу диаволу продал >;@)
corvair
21.10.2019 05:27Прикинь, в БД наверняка имеется строка #666, все абоненты пронумерованы и кому-то достался именно этот номер :)
iit
21.10.2019 09:09Думаю id 6, 66, 666, 6666 и так далее уже прикрепили пользователю satan и забанили его
artemisia_borealis
21.10.2019 09:30Причём в восмеричной, десятичной и шестнадцатиричной системах.
Для верности.Cerberuser
21.10.2019 10:10+3… а потом оказалось, что Сатана был зарегистрирован под номером 616, но все были слишком увлечены современными интерпретациями, чтобы вспомнить каноничные сведения.
agathis
21.10.2019 10:57+1Хехе. В московском дептрансе работают прошаренные господа.
Был автобус 666, в конце 90х его переименовали в 616
Antervis
20.10.2019 18:02ну подумаешь взломали, и что? Они всё равно верят что большой брат следит за ними 100% времени
mwambanatanga
20.10.2019 18:49+4при анализе сетевого трафика можно было без проблем перехватить пин и залогиниться.
И...? Помолиться вместо хозяина телефона?
baldr
20.10.2019 19:36Ну там проблема была в том, что девайс собирает личные данные пользователей. Которые всем нужны нынче. Причем, теперь оказывается, что еще и геоданные, да и звонить куда-то хочет.
taliano
20.10.2019 19:04+1А можно было зарядить ботов отмаливать грехи владельца учетки.
Pope's Worldwide Prayer Network
PVPN есть, а PVP пока нет, может в следующем релизе запилят.
oji
21.10.2019 02:58Click to Pray
Нужен вариант монетизации Pray to Win, для «солидных господ».DrunkBear
21.10.2019 10:50Уже давно есть у католиков, называется «индульгенция».
Как шутил один из католиков, «чем по-настоящему отличается православие, протестантизм и католичество? Прощением грехов: в православии нужно покаяться, в протестантизме — пойти и заработать кучу денег, а у католиков — купить индульгенцию.»nick_gabpe
21.10.2019 12:32+1Эту багу давно пофиксили. Из Release notes «В 1567 году папа Пий V полностью запретил предоставление индульгенции за деньги и иные пожертвования».
johnfound
21.10.2019 13:29А просто так, бесплатно, можно?
dimm_ddr
22.10.2019 13:57В этом вообще смысл покаяния — ты рассказываешь какой ты плохой и тебя либо просто прощают, потому что ты на самом деле хороший потому что признал что был плохим и пообещал так больше не делать, либо (не уверен что это существует во всех ветвях) назначают наказание по выполнению которого тебя прощают — «искупил вину». Деньги за это заплатить можно, в виде пожертвования, но необязательно.
DrunkBear
21.10.2019 14:55+1Хм, полез уточнять — нашёл понятие
Сверхдолжные делаСогласно учению Римско-Католической церкви, изложенному, например, Папой Римским Павлом VI в лат. «Indulgentiarum Doctrina» («Учении о индульгенции»[de]), многие великие святые для своего спасения трудились сверх меры; им достаточно было бы сделать гораздо меньше добрых дел для получения жизни вечной, но они не остановились на малом, а оставили Церкви неисчерпаемую сокровищницу заслуг — сокровищницу «сверхдолжных добрых дел» — чтобы грешники могли бы воспользоваться её богатствами для своего спасения. Распорядителем богатств из этой сокровищницы является Католическая церковь, в первую очередь в лице её главы, верховного иерарха — Папы Римского. В зависимости от усердия грешника Понтифик может брать богатства из сокровищницы и предоставлять их грешному человеку, поскольку своих собственных добрых дел для спасения у человека не хватает. С понятием «сверхдолжные заслуги» непосредственно связано понятие «индульгенция», когда человек за внесённую сумму освобождается от кары за свои собственные грехи или избавляет за деньги от кары за грехи своего умершего родственника или друга.
Berks
21.10.2019 04:33+1Вот у буддистов можно механизировать вращение молитвенного барабана, и такие молитвы всё равно засчитываются (правда, обезличенно, вроде бы). А на этих четках если программно сделать «накрутку» — засчитается?
Tabke
21.10.2019 07:34У буддистов заслуги пойдут тому, кто организовал механизацию, причем всем причастным к проекту. У католиков понятия кармы нету, все заслуги засчитывает лично Бог, а его обмануть, согласно их воззрениям, невозможно. Так что не прокатит.
CrazyRoot
21.10.2019 08:25+1Ну… можно же и в обратную сторону.
У вас новое сообщение: — «Вы согрешили. Оправьте 1 биткон по адресу или прочтите Отче наш 200 раз»Tabke
21.10.2019 08:34Сенсор грехов сделать, задача неординарная. Без нейросетей и глубокого обучения не обойтись. Можно предложить много забавных способов как эти нейросети обучать греху…
johnfound
21.10.2019 11:08А зачем? Можно просто random, несколько раз в сутки. По определению, каждый грешит постоянно (в мыслях например), так что молится всегда есть за что. ;)
vchslv13
21.10.2019 11:27А ведь отличная идея для научно-фантастического рассказа (или игры). Маленькая секта староверов на слабозаселённом спутнике одной из дальних планет солнечной системы с раннего детства подключает своим членам через нейроинтерфейс нейронную сеть, которая следит за всеми мыслями и действиями человека и «стучит» кому нужно при обнаружении любых признаков «греховных» мыслей или поведения. Конфликта только какого-то не хватает…
Tabke
21.10.2019 12:22Ну, как вариант, это конфликт заложенный в любую креационистскую религию. Раз Творец сотворил человека грешным, то вся ответственность за грех лежит не на человеке, а на самом Творце. Да и грех, это не грех, а часть великого замысла, т.е. богоугодное деяние.
dimm_ddr
22.10.2019 14:00Раз Творец сотворил человека грешным, то вся ответственность за грех лежит не на человеке, а на самом Творце.
Он сотворил грешным, но и дал свободу воли — предполагается что человек должен искупить грех и больше его не совершать. Поэтому если человек не делает ни того, ни другого — вина таки на нем. Но там все равно очень много интересного. Особенно если ветхий завет учитывать.Tabke
22.10.2019 15:26Он сотворил грешным, но и дал свободу воли
Это объяснение, которое может удовлетворить только верующего.
Если же взглянуть на проблему не предвзято и обобщенно, не ограничивая себя христианством. То либо Творец всемогущ и контролирует всё сущее, а это как бы основная причина поклонения ему как высшему в креационизме. А раз всё под его контролем, то и он несёт личную ответственность за всё.
Либо есть силы которые ему неподконтрольны, не под его властью. Но это ведёт нас к противоречию того рода, что значит он не является абсолютом, есть силы неподвластные ему, более высокая инстанция так сказать. То есть он не главный. Я имел в виду этот конфликт.
Это вообще было предложение литературного плана комментатору выше. Само-собой холиварить на эту тему непродуктивно и не имеет смысла.dimm_ddr
22.10.2019 16:26То либо Творец всемогущ и контролирует всё сущее
Из возможности контролировать все сущее (которая подразумевается всемогущестью) не следует контроль всего сущего. Утверждается что бог дал свободу воли — то есть отказался от контроля человека. Но он все еще может его контролировать — есть какое-то количество примеров вида «отвел руку» или «ужесточил сердце».
он несёт личную ответственность за всё
И он несет. Перед самим собой, не перед человеком. Но, так как человек предполагается самостоятельным — у него тоже есть ответственность. Но уже не только перед самим собой, так как есть бог который выше него. Ответственность вышестоящих не отменяет и не противоречит ответственности нижестоящих в случае когда на нижнем уровне тоже принимаются решения.
Если что — я не религиозный человек, мне просто было интересно разобраться в системе убеждений. Она на самом деле достаточно логична, основная проблема — невозможность предсказаний (связано с недоказуемостью) и спорность моральных убеждений в некоторых случаях. Понимаете, люди, особенно образованные — не идиоты. И они не были идиотами в прошедшие столетия. Поэтому система уже давно доработана так, что исключает очевидные противоречия.Tabke
22.10.2019 16:46+1Из возможности контролировать все сущее (которая подразумевается всемогущестью) не следует контроль всего сущего.
Вообще-то следует, в этом идея абсолютного Творца. Если Творец что-то не контролирует, то он не всемогущ. Так-то всемогущество вообще невозможно с точки зрения логики, в самой концепции заложены логические парадоксы.
Просто вы, как мне кажется, рассуждаете с позиции человека. Люди да, что-то создают и потом не контролируют, но люди собственно находятся полностью во власти других сил, — законов физики там, химии, других людей.
Религия же базируется на некой абсолютной идее. Не имеющей что-либо более высшего порядка и являющейся точкой отсчета для всего. В креационистских религиях, это идея Творца. Он абсолютен, нет сил выше чем он, нет сил не подконтрольных ему, его никто/ничто не сотворил, а он сотворил всё. Как-то так.Cerberuser
22.10.2019 19:09Вообще-то следует, в этом идея абсолютного Творца. Если Творец что-то не контролирует, то он не всемогущ.
Не мог не вспомнить Бормора:
— Брось ты этот камень, — отмахнулся Мазукта. — Ну-ка, давай, вспомни определение всемогущества!
— <...> Всемогущество — это способность творить всё, что угодно. Так?
— Вот именно, — кивнул Мазукта. — Ключевое слово — «угодно». Угодно тебе сотворить камень — творишь камень. Не угодно его поднимать — не поднимаешь. Это и есть настоящее всемогущество.Tabke
22.10.2019 20:22Этот диалог, хоть и звучит пафосно и красиво, чем вызывает желание доверять написанному, на самом слишком материалистичный.
Быть рабом собственных желаний, уже означает не быть всемогущим. Всемогущий не может быть во власти эмоций по определению, потому что тогда получается что он даже собственные желания преодолеть не может, т.е. и не всемогущий вовсе.Cerberuser
23.10.2019 06:59Тогда возникает вопрос — а что, собственно, будет делать всемогущее (в Вашем определении) существо, кроме как, собственно, существовать? Ведь у него нет причин что-либо делать, раз, по Вашим же словам, любая мотивация ограничит это всемогущество.
Tabke
23.10.2019 10:05Ну так о чем и речь. Настоящее всемогущество невозможно, если опираться на логику конечно.
Cerberuser
23.10.2019 10:43Если его определить как нечто невозможное — то конечно, оно будет невозможным, просто в силу этого самого определения.
Tabke
23.10.2019 10:49Определение заложено в этимологию слова, если что. Всемогущество — «мочь всё», если чего-то не мочь, то это уже не всемогущество, а просто могущество.
dimm_ddr
23.10.2019 12:04+1Вообще-то следует, в этом идея абсолютного Творца. Если Творец что-то не контролирует, то он не всемогущ.
Конечно же нет. Он не всемогущ если он не может это контролировать. Он может, но сознательно (насколько это слово в данном случае вообще применимо конечно) отказывается это делать в каких-то конкретных моментах. Могущество — это о возможностях, не о действиях. Так же как всемогущество подразумевает возможность уничтожить мир и создать новый. Но не подразумевает что нужно непрерывно этим заниматься.
Так-то всемогущество вообще невозможно с точки зрения логики, в самой концепции заложены логические парадоксы.
Поэтому заявляется что бог — непознаваем для человека. Логика — это человеческий инструмент, его область применения не распространяется на божественное.
Просто вы, как мне кажется, рассуждаете с позиции человека.
Нет, это именно вы рассуждаете с позиции человека. Я же рассматриваю божественное как нечто иное. Безотносительно того существует оно или нет — эта сущность(-ти) имеют, по религиозным убеждениям, достаточно своеобразные свойства. В частности, как я уже говорил — непознаваемость человеческим разумом. Из чего следует что инструменты познания которые использует человек — не работают в данном случае. Ну либо работают, но не так хорошо как в других, познаваемых областях.Tabke
23.10.2019 12:16непознаваемость человеческим разумом
Введение аксиоматических сущностей с выдуманными свойствами, это позиция верующего. Если вы стоите на такой позиции, то и обсуждать собственно нечего. Вера и логика несовместимы.
Nikoobraz
23.10.2019 13:12Поэтому заявляется что бог — непознаваем для человека.
Какого черта непознаваем он, если создан человек по образу и подобию его? Очень даже познаваем, почти как обычный человек. Я даже больше скажу, именно потому человек и грешен, что создан по образу и подобию его. Вон даже Люцика он в ад скинул из-за обычной человеческой гордыни. Нашелся тут видите ли умник усомнившийся в том, что Господь тут первый парень на деревне. С чего вообще у кого-то могло взяться желание представлять его как нечто за гранями человеческого понимания?
HardWrMan
23.10.2019 06:00Внезапно уже делают копию одного очень известного реалити-шоу, только с религиозным уклоном.
MTyrz
21.10.2019 18:45Да ладно, следить на содержанием в крови нескольких белков — задача вполне решаемая.
Wan-Derer
22.10.2019 02:55Пффф… Пульс, частота дыхания, данные с акселерометра… И не надо лезть грязной иголкой в вену :)
MTyrz
22.10.2019 21:46Будет куча ложных срабатываний по легитимной деятельности, а так же сложно отловить греховные помышления. Мой метод точнее. И иголка не нужна, небольшого чипа должно хватить.
Wan-Derer
23.10.2019 14:35Ложные срабатывания это не страшно. Главное — есть повод обвинить в грехопадении. А доказывать что он не верблюд — дело поциента. Это ведь так у них работает?
MTyrz
23.10.2019 18:14Ну, если взглянуть с этой стороны…
… То и сейчас неплохо, когда каждый грешен в общем-то по определению.
Кстати интересно, сейчас списки вопросов к исповеди используются ли, и что в них написано, если да?
Nikoobraz
21.10.2019 10:18Нельзя, как минимум из-за того, что бодипозитивисты и им сочувствующие SJW засудят папу за постоянные сообщения о совершении одного из смертных грехов.
Cerberuser
21.10.2019 10:35А он их — за несоблюдение правил добросовестного использования услуг связи (с Богом говорить хотят, а над собой работать — ни фига).
PendalFF
21.10.2019 08:19С другой стороны мусульмане давно пользуются всякими девайсами для религии, у них и компас на кибблу и счетчик поклонов кликерный при молитве (извините уж не знаю как там точно по терминологии называется) и приклад на телефон с вычислением дат и времен совершения разных обрядов. Католикам просто стало обидно:)
Godless
21.10.2019 09:14Ватикан никаких комментариев относительно этой проблемы в СМИ не давал. Тем не менее, Роберт сумел связаться с представителем Ватикана, после чего уязвимость была исправлена. Как оказалось, суть проблемы была в обработке данных аутентификации пользователя.
Простите, Роберт Лэнгдон?))
Revertis
21.10.2019 11:11В 2014-ом, по-моему, где-то была статистика сайтов, распространяющих малварь. Так на первом месте были не порносайты, а сайты религиозной тематики. Никто информационной безопасностью там не занимается.
corvair
21.10.2019 12:47Тоже знакомился с этой статистикой, не удивлюсь, если такие сайты распространяют мальварь целенаправленно, это же отличная тематика для кликбейта. Туда же всё, что посвящено остальной оккультно-мистической тематике, теориям заговора.
Amihailov
21.10.2019 17:17Получается, что при анализе сетевого трафика можно было без проблем перехватить пин и залогиниться.
Если я правильно понял этот перевод и оригинал — нужно «всего лишь» прослушать сетевой трафик пользователя? :)
Вот это взлом так взлом. Ломаем вайфайчик жертвы (или заманиваем его в свой), устраиваем MiTM и всего делов! В крайнем случае устраиваемся работать к провайдеру жертвы или в спецслужбы страны жертвы, тоже раз плюнуть :)vchslv13
21.10.2019 20:46Есть же многочисленные публичные точки доступа в кафе, ресторанах, парках и не удивлюсь если в соборах… Если там шифрование не использовалось, то всё вполне серьёзно, я думаю.
KorDen32
Для поиска BLE-устройств требуется ACCESS_FINE_LOCATION.