黑客劫持震动棒算不算性侵?

2017 年 11 月 6 日 安全优佳 安小编
点击上方 “安全优佳” 可以订阅哦!

我们使用的无线设备越来越多,而相关的法律还跟不上这种发展,特别是类似远程震动棒这类应用。

2014年,正是各种可穿戴设备群雄并起的黄金时代。加拿大情趣用品制造商Standard Innovation灵机一动,也快跑两步登上了“万众创新”这趟快车:他们想到了在振动棒中加上蓝牙模块的主意。于是开发出了唯伊(We-Vibe)系列情趣用品。用户通过对应的We-Connect App,可以在进行文字和视频聊天的同时,通过App远程控制与之配对的情趣用品(多么贴心的使用场景设计)。

所以,即使你在南方的艳阳里大雪纷飞 我在北方的寒夜里四季如春,但是依然能带彼此互相起飞。唯伊的宣传语是:“咫尺或天涯,激情速易达”。国内一些消费者评测网站如什么值得买、Chiphill对此其有不少“好,但是好在哪里就不细说了”的评测。

这本是一个好主意。但是2016年,Standard Innovation突然被告上了法庭。

原来,像所有的可穿戴设备一样,唯伊会大量收集用户数据并上传。振动棒的“工作环境温度改变”(捂脸)?嗯,需要报告一下公司;咦,你的伴侣把震动强度调高了?赶紧上传一下数据给公司……就这样,在使用过程中,用户的“使用日期时间、使用细节情况以及注册用户邮箱”等详细信息都会自动上传至Standard Innovation的服务器上,而这一切用户并不会被特别告知。

在被告上法庭后,Standard Innovation公司不得不承认,“我们的确会收集某些有限的数据,主要是为了改进产品使用体验和为了医疗诊断的目的。”但其强调说: “收集的这些数据是非个体化的”。

而且Standard Innovation一脸无辜地辩解,绝大多数用户根本也不创建帐户或提供电子邮件啊,暗示那些用个情趣用品还要一本正经注册使用的用户“你们4不4撒?”那些乖乖注册使用的用户一口老血喷出来了:老子信了你的邪……

其实,像情趣用品这种私密性非常强的产品,一旦接入物联网,其隐私性和安全性都会受到挑战。唯伊此前其实已经有过被黑的先例。2016年,在著名的黑客大会Def Con上,两位来自新西兰的黑客现场分分钟就“黑”了唯伊的App,取得了其远程控制权。两个Nerd随后正经脸地问了一个问题:你以为和伴侣玩的正high,但是后来发现控制振动棒的竟然另有其人,这算性侵么?

去年美国伊利诺伊州的两名“老司机”拍案而起,领衔发起了针对生产“唯伊”的母公司Standard Innovation的集体诉讼,声称该公司的数据收集违反了隐私和消费者欺诈法律。一位“不愿透露姓名”的女性“老司机”表示,其购买了一个130美元的唯伊Rave,并下载了适配的We-Connect应用程序,但这一App从来没有告知过自己设备制造商正在监控她的使用情况并收集“个人身份信息”。原告律师火上添油地表示“这算是我们律所处理的最令人不可思议的侵犯隐私行为。”

上周,在芝加哥联邦法院的主持下,Standard Innovation终于算是与原告达成了一项和解协议。根据和解协议,Standard Innovation同意删除已经收集的用户使用数据,并停止收集个人用户信息。将来,用户会受到明确提示是否愿意共享使用数据。

同时,Standard Innovation同意拨备350万美元(约2500万人民币),用于以下赔偿: 被证实配合唯伊情趣用品使用过App的顾客将获赔最高一万美元;无论是否使用该App,而只要买过唯伊的用户最高也可获赔199美元。不过根据和解协议备忘录披露的信息,大约30万人购买了诉讼所涉及的唯伊,且有大约十万人下载并使用了该应用程序。这个钱分到个人手里看来并没有多少。

Standard Innovation还是嘴硬,拒绝在和解协议里明确承认公司有任何不当行为,尽管如此,公司还是在去年九月更新了We-Connect应用程序和隐私声明。

最近,一名叫Lomas的渗透测试员与其在网络安全公司的小伙伴就这个问题做了个小实验,他们用手机里的LightBlue快速搜索到了一个陌生人使用的Lovense Hush震动棒,这款震动棒或许是市场上同类产品中最牛的。更重要的是,Hush是可以被黑客入侵的。

Lomas将其测试结果发表在了Pen Test伙伴的博客里。在【视频】采访中,他做了如下总结:

Hush使用低耗能的蓝牙模式,这是比较新的蓝牙模式,目的是连接智能设备。

如果是在公共场所使用这款Lovense Hush按摩产品,另一名测试员可在30英尺(9.144米)范围内通过手机控制这款产品的震动速度和模式。在这种情况下,Hush将会进入发现模式,可供其它人发现并加以控制,这里未设置密码保护,要么PIN码是简单易猜的0000或1234——如此轻易被爆*。

有些白帽子已经曝光了一组成人用品公司——Lovense,Wevibe——他们一直在收集用户的隐私数据,但其存储库不稳定,而他们的客户并不知道这些。WeVibe数据的不安全性使其收到多宗侵犯隐私的诉讼,而第三方介入远程性爱行为的可能性还极少被探讨。

Hush并非唯一让黑客有机可乘的成人玩具:任何启用了蓝牙功能的小玩意,如助听器或烟雾探测器,都可能存在被第三方检测到的风险。而像Body Chat或配备摄像头的Siime Eye震动棒等非常私密的智能型成人用品很容易被劫持。

安全优佳

http://news.secwk.com

长按识别左侧二维码,关注我们


登录查看更多
0

相关内容

黑客(Hacker,台湾译作「骇客」)广义上指在计算机科学,编程以及设计领域有高度理解力的人。 然而,人们通常对黑客一词的理解都是取其狭义的涵义,即信息安全领域的黑客: 未经许可入侵他人系统并窃取数据信息等的可以视为 黑帽黑客,也可取侩客 cracker 的涵义。
而主要从事安全检测,系统调试,技术研究的安全从业者可称为 白帽黑客
还有一种存在称为「脚本小子」,往往冒充黑客也常被人误认为是「黑客」,其实是利用一些现有的工具或者程序达到入侵或破解等目的,然而其知识储备以及对技术的理解力却完全不符合广义黑客的标准,甚至不及狭义黑客标准。
最新《Deepfakes:创造与检测》2020综述论文,36页pdf
专知会员服务
62+阅读 · 2020年5月15日
德勤:2020技术趋势报告,120页pdf
专知会员服务
190+阅读 · 2020年3月31日
Gartner:2020年十大战略性技术趋势, 47页pdf
专知会员服务
76+阅读 · 2020年3月10日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
新时期我国信息技术产业的发展
专知会员服务
69+阅读 · 2020年1月18日
报告 | 2020中国5G经济报告,100页pdf
专知会员服务
97+阅读 · 2019年12月29日
泰国通过个人信息保护法
蚂蚁金服评论
16+阅读 · 2019年4月3日
宅男福音deepfakes开源了
AI前线
9+阅读 · 2018年1月31日
VR下的啪啪啪,是单身狗的天堂,还是地狱?
猎云网
4+阅读 · 2017年11月18日
这位程序员为什么要弃用Facebook?
CSDN
5+阅读 · 2017年7月14日
你见过马化腾17年前写的代码吗?
互联网it观察
5+阅读 · 2017年7月3日
Neural Module Networks for Reasoning over Text
Arxiv
9+阅读 · 2019年12月10日
Arxiv
4+阅读 · 2018年5月14日
Arxiv
5+阅读 · 2018年1月30日
Arxiv
11+阅读 · 2018年1月11日
VIP会员
相关VIP内容
最新《Deepfakes:创造与检测》2020综述论文,36页pdf
专知会员服务
62+阅读 · 2020年5月15日
德勤:2020技术趋势报告,120页pdf
专知会员服务
190+阅读 · 2020年3月31日
Gartner:2020年十大战略性技术趋势, 47页pdf
专知会员服务
76+阅读 · 2020年3月10日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
新时期我国信息技术产业的发展
专知会员服务
69+阅读 · 2020年1月18日
报告 | 2020中国5G经济报告,100页pdf
专知会员服务
97+阅读 · 2019年12月29日
相关资讯
泰国通过个人信息保护法
蚂蚁金服评论
16+阅读 · 2019年4月3日
宅男福音deepfakes开源了
AI前线
9+阅读 · 2018年1月31日
VR下的啪啪啪,是单身狗的天堂,还是地狱?
猎云网
4+阅读 · 2017年11月18日
这位程序员为什么要弃用Facebook?
CSDN
5+阅读 · 2017年7月14日
你见过马化腾17年前写的代码吗?
互联网it观察
5+阅读 · 2017年7月3日
Top
微信扫码咨询专知VIP会员