Vaticano mal lança "smart rosário" e pesquisador já encontra falha de segurança

Por Nathan Vieira | 21 de Outubro de 2019 às 19h25
acer

Na última sexta-feira (18), o Vaticano lançou o eRosário Smart, que pode ser pareado com um dispositivo iOS ou Android via Bluetooth. Ele usa o Bluetooth 5.0 para detectar a presença dos usuários e pode armazenar e acompanhar todas as orações em andamento ou concluídas. O acessório é composto por 10 contas de ágata preta e hematita e uma cruz de metal prateado. Fabricado pela Acer, o produto custa 99 euros (R$ 457 na conversão direta), com venda no site da Acer Itália e na Amazon. Até aí, tudo bem. No entanto, em poucos dias de lançamento, um usuário já encontrou uma falha de segurança no wearable.

Um pesquisador de segurança da Fidus Information Security, uma empresa do Reino Unido, descobriu a vulnerabilidade poucos minutos após o lançamento do aplicativo que acompanha o rosário. Depois de conectado a um aparelho, você pode usar o eRosário com o app chamado eRosary Click to Pray, que já existe desde janeiro e basicamente ensina como rezar o rosário. Ao sincronizar o gadget, você pode seguir orientações sobre como orar e fazer isso com o Papa como guia — ou até mesmo com outras pessoas por meio da rede social Pope’s Worldwide Prayer Network. No entanto, no lugar de uma senha, o aplicativo envia um PIN para o endereço de e-mail registrado, usado para fazer login.

eRosário Smart, fabricado pela Acer

O problema é que o código PIN também pode ser acessado por qualquer pessoa que possa ver o tráfego do aplicativo, pois estaria contido na resposta da API. Assim, em teoria, você pode ver o PIN sem precisar acessar a conta de email. A solicitação de um PIN também aparentemente desconecta você da sua sessão no aplicativo, o que significa que uma pessoa pode ser expulsa e não conseguir fazer login novamente porque alguém já está usando um PIN solicitado. A pessoa que acessou sua conta poderá ver qualquer informação lá, incluindo suas orações, seus passos etc.

Aparentemente, esse problema foi corrigido. A Fidus Information Security relatou a vulnerabilidade aproximadamente um dia após o aplicativo estar amplamente disponível.

Vale lembrar que o eRosário está com venda no site da Acer Itália e na Amazon.

Fonte: The Next Web

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.