検索
ニュース

ローマ法王庁のスマートロザリオに脆弱性

eRosaryはサインイン時のPINコード処理に脆弱性があり、簡単にユーザー情報が取得できた。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 ローマ法王庁に属する組織がAcer子会社と共同開発したスマートロザリオ「Click To Pray eRosary」に、メールアドレス、電話番号や身長、体重などの個人データを簡単に盗まれてしまう脆弱性が存在すると、セキュリティ企業のFidus InfoSecurityがTwitterで指摘した。

 eRosaryは十字架と10個の珠を備えたロザリオで、スマートフォンと連動して祈りのやり方をサポートするが、それだけではなく活動量計としての役割も果たす。

photo
eRosary

 公式ブログによると、eRosaryアプリではメールアドレスでサインインする際に4桁の確認用PINコードを返信する仕組みになっているが、APIの不備により簡単に正しいPINコードにたどり着くことが可能だったという。

photo
eRosaryのサインイン画面

 そのため、メールアドレスや誕生日、体重や身長といったデータが取得可能になることを確認。通報後、eRosaryのPINコードは8桁に増やされて侵入は困難になったものの、根本的な脆弱性は残ったままだとFidus InfoSecurityは指摘している。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る