ローマ法王庁に属する組織がAcer子会社と共同開発したスマートロザリオ「Click To Pray eRosary」に、メールアドレス、電話番号や身長、体重などの個人データを簡単に盗まれてしまう脆弱性が存在すると、セキュリティ企業のFidus InfoSecurityがTwitterで指摘した。
eRosaryは十字架と10個の珠を備えたロザリオで、スマートフォンと連動して祈りのやり方をサポートするが、それだけではなく活動量計としての役割も果たす。
公式ブログによると、eRosaryアプリではメールアドレスでサインインする際に4桁の確認用PINコードを返信する仕組みになっているが、APIの不備により簡単に正しいPINコードにたどり着くことが可能だったという。
そのため、メールアドレスや誕生日、体重や身長といったデータが取得可能になることを確認。通報後、eRosaryのPINコードは8桁に増やされて侵入は困難になったものの、根本的な脆弱性は残ったままだとFidus InfoSecurityは指摘している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR