Das hatte man sich im Vatikan sicher anders vorgestellt: Nachdem vergangene Woche der smarte Rosenkranz "Click to Pray eRosary" samt zugehöriger App vorgestellt worden war, dauerte es nur wenige Tage, bis die erste gravierende Sicherheitslücke in der App bekannt wurde. Wie sowohl der französische Sicherheitsforscher Baptiste Robert als auch die britische Security-Firma Fidus am Wochenende auf Twitter mitteilten, gelang es ihnen innerhalb kürzester Zeit, sich Zugang zu fremden Accounts zu verschaffen, die in der "Click to Pray eRosary"-App angelegt worden waren – sofern man die dazu passende E-Mail-Adresse kannte. Auch die Tech-Nachrichtenseite CNET konnte in Zusammenarbeit mit Robert die Lücke anhand von Testaccounts verifizieren.

Robert hatte zunächst die zuständige Stelle im Vatikan informiert und ihnen seine Analyse zur Verfügung gestellt. Daraufhin wurde das Problem offenbar behoben – eine offizielle Stellungnahme des Weltweiten Gebetsnetzwerks des Papstes, der für die App verantwortlichen Jesuiten-Organisation, steht bislang allerdings noch aus. Währenddessen wurde die App im Google Play Store am Freitag auf eine neue Version geupdatet. Laut Fidus sei die Lücke damit zumindest vorübergehend geschlossen.

PIN-Code im Klartext übertragen

Nach Angaben der Sicherheitsforscher bestand die Lücke bereits im Login-Prozess der Android-Version der App: Statt ein Passwort festzulegen, bekamen Nutzer bei der Registrierung und jedem weiteren Login einen PIN-Code an die hinterlegte E-Mail-Adresse geschickt, doch dieser Code sei auch in der Antwort auf die entsprechende Netzwerkanfrage der App unverschlüsselt enthalten gewesen. Somit sei es nicht einmal nötig gewesen, Zugriff auf die E-Mail-Adresse eines potenziellen Opfers zu haben, um an den PIN-Code zu gelangen, sich einzuloggen und via API alle in der App hinterlegten persönlichen Daten auszulesen oder gar den Account zu löschen. Der betroffene Nutzer konnte dies jedoch bemerken, da er im selben Moment auf seinem Gerät automatisch ausgeloggt worden sei.

Zu den einsehbaren Daten gehörten neben Profilinformationen wie Name, Telefonnummer oder Geburtsdatum auch alles, was die App im Zusammenhang mit dem smarten Rosenkranz trackt, darunter Statistiken über die mit dem Gadget absolvierten Rosenkranz-Gebete. Gleichzeitig verfügt der "eRosary" auch über Funktionen eines Fitnessarmbands, sodass Informationen wie die Anzahl der zurückgelegten Schritte ausgelesen werden konnten.

Der smarte Rosenkranz war am vergangenen Mittwoch im Vatikan vorgestellt worden. Für knapp 100 Euro verspricht das Gerät eine app-unterstützte Gebetserfahrung: Dank Bewegungssensoren lässt sich der Rosenkranz mit einer Kreuzgeste aktivieren und zählt die absolvierten Gebete mit, dazu bietet die App unter anderem Audioguides an und erinnert ihren Besitzer per Push-Benachrichtigung an regelmäßiges Beten. Der "eRosary" soll als Teil der "Click to Pray"-Kampagne jungen Katholiken das Gebet nach regelmäßigen päpstlichen Vorgaben näherbringen. (siko)