某智能情趣用品曝严重漏洞,还能不能愉快地自嗨了!

2018 年 2 月 5 日 E安全 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com


E安全2月5日讯 德国情趣用品公司 Amor Gummiwaren 公司的 Vibratissimo 产品存在多个严重漏洞,允许任何人通过互联网控制震动棒,并致用户数据泄露,攻击者甚至能够获取用户的真实姓名和家庭住址。

Amor Gummiwaren 官网发布的信息显示,“用户可下载Vibratissimo应用程序通过智能手机控制 AMOR 情趣用品,并获取更多功能。无论共处一室或天各一方,Vibratissimo 都会为敞开新鲜刺激的机会之门。”

这份报告指出,这款应用程序具有“快速控制”功能,其允许用户通过短信和电子邮箱向“搭档”发送带有唯一 ID 的链接,以此通过互联网直接控制震动棒。如果包含唯一 ID 的链接是随机生成的,并且足够长,就不会有这个安全问题。此外,如果接受方必须在被控制之前确认远程控制,这将会保证一定的安全性。但问题是,这款应用程序却不具备这些安全保护举措。攻击者可轻易猜出 ID,直接通过互联网控制震动棒。

情趣用品安全漏洞或给用户带来大麻烦

不止如此,其中一个漏洞允许未经身份验证的蓝牙连接,可被附近的攻击者利用劫持设备。研究人员还发现,这家公司用来存储客户数据的后端云服务暴露在互联网上,任何人可通过简单易猜的网址发现此类数据。该数据库存储着客户创建的用户名、明文密码、聊天记录和相册,攻击者无需密码就能转储并下载。更恐怖的是,攻击者还可获取用户的真实姓名和家庭住址。

目前尚不清楚该数据库有多少用户。研究人员称用户数量多达6位数。从 Google Play 应用商店可以看出,这款 Android 移动应用程序的用户量介于5万-10万之间。

SEC Consult 2017年11月报告了这些漏洞,但当时并未全部得到修复。这家公司对该数据库采取了安全保护措施。虽然这款应用程序已被修复,但震动棒必须返厂更新,因为不具备远程更新功能。

联网情趣用品与其它IoT设备的情况一样,许多此类设备制造商将功能置于安全之上,从而使用户面临攻击和数据泄露风险。这就引发出各种伦理问题:如果震动棒被黑,是否属于性犯罪?这个问题还有待回答。但有人可能会问,为何会将震动棒联网视为一个好点子?

鉴于此类设备的敏感性和私密性,研究人员仍在继续努力发现情趣用品中的漏洞,以对其进行修复。安全研究人员RenderMan启动了一个“Internet of Dongs”项目,以提高人们对情趣用品安全问题的认识。

其他可能泄露用户信息的情趣用品

2017年3月,加拿大成人情趣用品制造商Standard Innovations的“We-Vibe”配套的 APP 能够反馈用户在使用时的各种数据,确实很新颖,值得围观。但让消费者万万没想到的是不仅自己能够看见这些数据,厂商的工作人员们也可以看到……“We-Vibe”后来因收集用户隐私信息被法院判决向消费者赔偿共计375万美元。

20107年4月,售价近250美元Svakom(司沃康)Siime Eye能轻易被黑客入侵。这款设备本身已经带有视频流功能,网络连接一旦不安全,甚至带来麻烦。如果有人在设备Wi-Fi范围内,他们就可以猜到密码。如果产品的WiFi默认密码(88888888)未被修改,黑客几乎不需要动手就可以立即加入并观看视频。当某人使用这款 Siime Eye,黑客就能在用户不知情的情况下观看视频流,甚至能现场直播。

注:本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/619265129.shtml

推荐阅读:

点击阅读原文” 查看更多精彩内容

登录查看更多
0

相关内容

少标签数据学习,54页ppt
专知会员服务
196+阅读 · 2020年5月22日
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
社会工程学之伪装
计算机与网络安全
4+阅读 · 2019年1月2日
威胁情报驱动:F3EAD 之利用
计算机与网络安全
4+阅读 · 2018年12月28日
已删除
AI科技评论
4+阅读 · 2018年8月12日
Arxiv
5+阅读 · 2019年10月11日
Mesh R-CNN
Arxiv
4+阅读 · 2019年6月6日
Music Transformer
Arxiv
5+阅读 · 2018年12月12日
Arxiv
14+阅读 · 2018年4月18日
Arxiv
12+阅读 · 2018年1月28日
VIP会员
相关资讯
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
社会工程学之伪装
计算机与网络安全
4+阅读 · 2019年1月2日
威胁情报驱动:F3EAD 之利用
计算机与网络安全
4+阅读 · 2018年12月28日
已删除
AI科技评论
4+阅读 · 2018年8月12日
相关论文
Top
微信扫码咨询专知VIP会员