В недавно представленных «умных» четках Click to Pray, нашли серьёзную уязвимость, которая позволяет завладеть аккаунтом пользователя, а также его личными данными.
Специалистам по кибербезопасности хватило всего 15 минут, чтобы заполучить доступ к аккаунту пользователя четок Click to Pray. Для этого потребовалось указать адрес электронной почты.
При создании аккаунта, пользователю нужно указать адрес электронный почты и получить на неё четырехзначный PIN-код, который приходит при каждой авторизации. Дело в том, что вся информация передавалась в незашифрованном виде. Поэтому её мог перехватить любой.
В качестве эксперимента редактор CNET создал учетную запись в приложении и смог зайти в чужой аккаунт. Когда он получал доступ к чужому профилю, владельца аккаунта выкидывало и высвечивалось сообщение, что он уже авторизировался с другого устройства.
В Ватикане не дали ответ на запрос CNET о ситуации, однако редактор сообщил, что уязвимость уже устранили.
Во время пресс-конференции в Ватикане, были представлены смарт-четки «Click to Pray», которые помогают пользователю во время чтения молитв. Четки «Click to Pray» оценили в €99 (около $110).