Un investigador francés de ciberseguridad ha descubierto una grave vulnerabilidad en la aplicación para teléfonos móviles «Click To Pray eRosary» (Haz clic para rezar) con la que opera el viralizado rosario electrónico del Vaticano.
Aunque las pulseras inteligentes abren nuevas oportunidades para la interacción de los usuarios con sus ‘smartphones’, son muy propensos a sufrir problemas de seguridad, destaca el portal CNET. El medio cita a Baptiste Robert, el investigador que decidió comprobar la fiabilidad de eRosary y consiguió ‘hackearlo’ en tan solo 15 minutos.
Según Robert, la aplicación del Vaticano presenta una seria vulnerabilidad que permite a los piratas informáticos acceder a la cuenta de un usuario solo con saber la dirección de correo electrónico que la víctima utilizó para su registro.
Para entrar en Click To Pray eRosary, en vez de contraseñas se utilizan códigos PIN de cuatro dígitos que la aplicación envía a la bandeja de entrada de sus usuarios cada vez que quieren iniciar una sesión. El problema —explica Roberts— reside en que para mandar este código a un usuario, la aplicación primero envía una solicitud a su servidor y, en consecuencia, el PIN sin cifrar aparece en el tráfico de red. Por esa razón, cualquiera que analice el tráfico de red podría interceptar el código de acceso.
Tras detectar este fallo el pasado miércoles, Robert puso el problema en conocimiento del Vaticano, cuyos desarrolladores ya lo han resuelto.
El rosario inteligente eRosary del Vaticano, que fue presentado el pasado 16 de octubre, cuesta 109 dólares y va especialmente dirigido a los jóvenes. Desarrollado a iniciativa de la Red Mundial de Oración del papa, el rosario ofrece material didáctico sobre la oración.
El rosario electrónico tiene forma de pulsera que se activa haciendo la señal de la cruz. Opera con la aplicación Click To Pray eRosary, disponible en iOS y en Android, es resistente al polvo y cuenta con un soporte para carga inalámbrica que le da una autonomía de uso de hasta cuatro días tras 2,5 horas de carga.
Además de llevar la cuenta de las oraciones, la pulsera también sirve para medir la actividad física: pasos, calorías quemadas y distancia recorrida.
Según CNET, Robert probó a ‘hackear’ la cuenta de uno de los empleados del portal y, tras lograrlo en varias ocasiones, obtuvo acceso a información personal como sexo, altura, peso y fecha de su cumpleaños.