英国のセキュリティ企業Fidus Information Securityは、ローマ教皇庁の電子ロザリオ「Click to Pray eRosary」用アプリに、アカウント乗っ取り可能な脆弱性が存在すると発表した。
Click to Pray eRosaryは、ロザリオと呼ばれるキリスト教カトリック教徒の祈りに使う数珠を、ブレスレット型ウェアラブルデバイスとして実現させたガジェット。フィットネストラッカーとしての機能も備えており、連携させたスマートフォンの管理アプリで活動量データなどが確認できる。
このアプリを使う場合、GoogleまたはFacebookのアカウントでユーザー認証する方法に加え、メールで4桁の暗証番号(PIN)を受け取る方法がある。アプリにPINを入力すると、正規ユーザーとしてアプリを利用できる。
PINは、アプリのアカウントをリセットする際にも登録済みメールアドレスに送付される。ただし、PIN送付を実行するAPI「resend_pin」をコールすると、PINがメールで送信されるだけでなく、APIの戻り値としてPINが取得できてしまうそうだ。つまり、何らかの方法で同APIを叩けば、メールアドレスを知らなくても4桁のPINが得られる。そして、ユーザーのアバター、電話番号、身長、体重、性別、生年月日が流出する。
その後アプリは修正されたものの、PINの桁数が8桁に増やされただけだった。APIでPINを取得可能な問題についての、根本的な対策は施されていない。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス