La scorsa settimana il Vaticano ha annunciato di essere entrato nell’IoT con eRosary e a distanza di pochi giorni qualcuno ha già trovato un grave difetto di sicurezza.
Click to Pray eRosary, questo il nome di tale device, può essere considerato come una sorta di Fitbit per la preghiera, che si attiva quando l’utente fa il segno della croce e tiene traccia di alcuni dati.
Stando a quanto spiegato dal Vaticano, una volta che è iniziata la preghiera il rosario smart mostra i progressi dell’utente attraverso i diversi misteri e tiene traccia di ogni rosario completato.
Ebbene, stando a quanto rivelato dallo staff di FidusInfo Security, l’applicazione eRosary era soggetta ad un exploit attraverso il quale il malintenzionato di turno poteva visualizzare il PIN per riaccedere all’applicazione dopo il reset dell’account senza avere accesso alla relativa email e, quindi, ottenere diversi dati dell’utente (come le email, i numeri di telefono, il peso, l’altezza, ecc.).
Il team di ricercatori ha prontamente informato il Vaticano del problema, che nel giro di 36 ore ha rilasciato un fix per risolverlo.