早前梵蒂岡所推出的 eRosary 裝置被發現存有漏洞,使黑客可以簡單地拿取用戶的資料,但這漏洞經已修復。
eRosary 裝置是一款受 App 所控制的設備,可以作為手鐲佩戴。該設備有不同的念珠模式選擇,亦會顯示每個祈禱過程的進度及跟踪每個念珠模式的完成情況。Fidus 的創辨人 Andrew Mabbitt 對 The Register 科技網站説:「我們的研究人員檢查其代碼,並在短短十分鐘便發現到問題」。
根據 Fidus 官方的說法,該問題可讓黑客無需連接到用戶的電子郵件也可獲得其密碼 (四位 PIN 碼),當應用程序請求發送 PIN 時,它將改為 “ resend_pin”,會將 PIN 發送至電子郵件,但根據 API 的響應,使得任何人無需連接到電子郵件也可獲得其四位 PIN 碼,讓黑客能獲取用戶的個人資料,例如 : 電話號碼、身高、性別等資料。而根據 The Register 的資料,Fidus 還發現黑客可以通過 “brute forcing” 來檢索密碼,這是一種通過反複試驗和錯誤來檢索隱藏信息的方法。不過以上問題梵蒂岡官方表示已成功解決,因此用戶亦不必太擔心。
資資來源 : The Register Fidus Catholic Herald