ローマ法王庁に属する組織がAcer子会社と共同開発したスマートロザリオ「Click To Pray eRosary」に、メールアドレス、電話番号や身長、体重などの個人データを簡単に盗まれてしまう脆弱性が存在すると、セキュリティ企業のFidus InfoSecurityがTwitterで指摘した。

eRosaryは十字架と10個の珠を備えたロザリオで、スマートフォンと連動して祈りのやり方をサポートするが、それだけではなく活動量計としての役割も果たす。

eRosary

公式ブログによると、eRosaryアプリではメールアドレスでサインインする際に4桁の確認用PINコードを返信する仕組みになっているが、APIの不備により簡単に正しいPINコードにたどり着くことが可能だったという。

eRosaryのサインイン画面

そのため、メールアドレスや誕生日、体重や身長といったデータが取得可能になることを確認。通報後、eRosaryのPINコードは8桁に増やされて侵入は困難になったものの、根本的な脆弱性は残ったままだとFidus InfoSecurityは指摘している。