新闻快讯
< >

某智能情趣用品曝严重漏洞,还能不能愉快地自嗨了!

E安全2月5日讯 德国情趣用品公司 Amor Gummiwaren 公司的 Vibratissimo 产品存在多个严重漏洞,允许任何人通过互联网控制震动棒,并致用户数据泄露,攻击者甚至能够获取用户的真实姓名和家庭住址。

又一波IoT情趣用品沦陷,攻击者可远程控制-E安全

Amor Gummiwaren 官网发布的信息显示,“用户可下载Vibratissimo应用程序通过智能手机控制 AMOR 情趣用品,并获取更多功能。无论共处一室或天各一方,Vibratissimo 都会为敞开新鲜刺激的机会之门。”

这份报告指出,这款应用程序具有“快速控制”功能,其允许用户通过短信和电子邮箱向“搭档”发送带有唯一 ID 的链接,以此通过互联网直接控制震动棒。如果包含唯一 ID 的链接是随机生成的,并且足够长,就不会有这个安全问题。此外,如果接受方必须在被控制之前确认远程控制,这将会保证一定的安全性。但问题是,这款应用程序却不具备这些安全保护举措。攻击者可轻易猜出 ID,直接通过互联网控制震动棒。

情趣用品安全漏洞或给用户带来大麻烦

不止如此,其中一个漏洞允许未经身份验证的蓝牙连接,可被附近的攻击者利用劫持设备。研究人员还发现,这家公司用来存储客户数据的后端云服务暴露在互联网上,任何人可通过简单易猜的网址发现此类数据。该数据库存储着客户创建的用户名、明文密码、聊天记录和相册,攻击者无需密码就能转储并下载。更恐怖的是,攻击者还可获取用户的真实姓名和家庭住址。

目前尚不清楚该数据库有多少用户。研究人员称用户数量多达6位数。从 Google Play 应用商店可以看出,这款 Android 移动应用程序的用户量介于5万-10万之间。

SEC Consult 2017年11月报告了这些漏洞,但当时并未全部得到修复。这家公司对该数据库采取了安全保护措施。虽然这款应用程序已被修复,但震动棒必须返厂更新,因为不具备远程更新功能。

联网情趣用品与其它IoT设备的情况一样,许多此类设备制造商将功能置于安全之上,从而使用户面临攻击和数据泄露风险。这就引发出各种伦理问题:如果震动棒被黑,是否属于性犯罪?这个问题还有待回答。但有人可能会问,为何会将震动棒联网视为一个好点子?

鉴于此类设备的敏感性和私密性,研究人员仍在继续努力发现情趣用品中的漏洞,以对其进行修复。安全研究人员RenderMan启动了一个“Internet of Dongs”项目,以提高人们对情趣用品安全问题的认识。

其他可能泄露用户信息的情趣用品

2017年3月,加拿大成人情趣用品制造商Standard Innovations的“We-Vibe”配套的 APP 能够反馈用户在使用时的各种数据,确实很新颖,值得围观。但让消费者万万没想到的是不仅自己能够看见这些数据,厂商的工作人员们也可以看到……“We-Vibe”后来因收集用户隐私信息被法院判决向消费者赔偿共计375万美元。

1489652407734074507.jpg

Svakom(司沃康)Siime Eye

20107年4月,售价近250美元Svakom(司沃康)Siime Eye能轻易被黑客入侵。这款设备本身已经带有视频流功能,网络连接一旦不安全,甚至带来麻烦。如果有人在设备Wi-Fi范围内,他们就可以猜到密码。如果产品的WiFi默认密码(88888888)未被修改,黑客几乎不需要动手就可以立即加入并观看视频。当某人使用这款 Siime Eye,黑客就能在用户不知情的情况下观看视频流,甚至能现场直播。

慎重!物联网时代情趣用品设备真的适合联网么?-E安全


E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。