ローマ教皇庁の電子ロザリオ「Click to Pray eRosary」--管理アプリに脆弱性

　英国のセキュリティ企業Fidus Information Securityは、ローマ教皇庁の電子ロザリオ「Click to Pray eRosary」用アプリに、アカウント乗っ取り可能な脆弱性が存在すると発表した。

スマートフォンと連携する電子ロザリオ（出典：ローマ教皇庁）

　Click to Pray eRosaryは、ロザリオと呼ばれるキリスト教カトリック教徒の祈りに使う数珠を、ブレスレット型ウェアラブルデバイスとして実現させたガジェット。フィットネストラッカーとしての機能も備えており、連携させたスマートフォンの管理アプリで活動量データなどが確認できる。

活動量データが確認可能なアプリ（出典：ローマ教皇庁）

　このアプリを使う場合、GoogleまたはFacebookのアカウントでユーザー認証する方法に加え、メールで4桁の暗証番号（PIN）を受け取る方法がある。アプリにPINを入力すると、正規ユーザーとしてアプリを利用できる。

　PINは、アプリのアカウントをリセットする際にも登録済みメールアドレスに送付される。ただし、PIN送付を実行するAPI「resend_pin」をコールすると、PINがメールで送信されるだけでなく、APIの戻り値としてPINが取得できてしまうそうだ。つまり、何らかの方法で同APIを叩けば、メールアドレスを知らなくても4桁のPINが得られる。そして、ユーザーのアバター、電話番号、身長、体重、性別、生年月日が流出する。

「resend_pin」でPIN（4509）を取得（出典：Fidus）

ユーザーの情報が流出（出典：Fidus）

　その後アプリは修正されたものの、PINの桁数が8桁に増やされただけだった。APIでPINを取得可能な問題についての、根本的な対策は施されていない。

8桁のPIN（89256296）が取得可能（出典：Fidus）