ローマ法王庁のスマートロザリオeRosaryに脆弱性

2019-10-23_182600.png
引用元:eRosary

ごきげんよう。

バチカンが「スマートロザリオ」を発表、十字を切ってアプリが起動し祈りを学ぶことが可能

バチカンが「スマートロザリオ」を発表、十字を切ってアプリが起動し祈りを学ぶことが可能
ローマ教皇庁が統治するカトリックの総本山・バチカンが、世界の平和を祈るためのロザリオ型スマートデバイス「eRosary」を発表しました。eRosaryは、ロザリオ型のスマートデバイス。腕に巻き付けて消費カロリーや歩数などの各種健康データをトラッキングできる他にも、装着したまま十字を切ることによって、キリスト教徒向けの「Click To Pray」というアプリケーションを起動可能というロザリオらしい機能を備えています。

話題となったロザリオ型スマートデバイス「eRosary」。十字を切ってアプリケーションを起動可能と言う中二心を刺激するスマートデバイスとなっている。

ローマ法王庁のスマートロザリオに脆弱性

ローマ法王庁のスマートロザリオに脆弱性
ローマ法王庁に属する組織がAcer子会社と共同開発したスマートロザリオ「Click To Pray eRosary」に、メールアドレス、電話番号や身長、体重などの個人データを簡単に盗まれてしまう脆弱性が存在すると、セキュリティ企業のFidus InfoSecurityがTwitterで指摘した。

ロザリオ型スマートデバイスという時点で既に面白いが、さらに脆弱性の指摘。しかも個人情報が簡単に盗まれる深刻な脆弱性となると色々な皮肉を感じる。

通報した後の対応

eRosaryアプリではメールアドレスでサインインする際に4桁の確認用PINコードを返信する仕組みになっているが、APIの不備により簡単に正しいPINコードにたどり着くことが可能だったという。通報後、eRosaryのPINコードは8桁に増やされて侵入は困難になったものの、根本的な脆弱性は残ったままだとFidus InfoSecurityは指摘している。

一時対応としては仕方がないのかもしれないが、突然PINの桁数を4桁から8桁に増やされては困る人も多いだろう。根本対応後に桁数を戻すわけにもいかないだろう。APIの不備だと特定できているなら即座の対応が可能なように思えるが、しがらみが多いのだろうか。ローマ法王庁は先進的なのか、判断に迷う事案だ。

この記事へのコメント


人気ブログランキングへ