更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全2月5日讯 德国情趣用品公司 Amor Gummiwaren 公司的 Vibratissimo 产品存在多个严重漏洞,允许任何人通过互联网控制震动棒,并致用户数据泄露,攻击者甚至能够获取用户的真实姓名和家庭住址。
Amor Gummiwaren 官网发布的信息显示,“用户可下载Vibratissimo应用程序通过智能手机控制 AMOR 情趣用品,并获取更多功能。无论共处一室或天各一方,Vibratissimo 都会为敞开新鲜刺激的机会之门。”
这份报告指出,这款应用程序具有“快速控制”功能,其允许用户通过短信和电子邮箱向“搭档”发送带有唯一 ID 的链接,以此通过互联网直接控制震动棒。如果包含唯一 ID 的链接是随机生成的,并且足够长,就不会有这个安全问题。此外,如果接受方必须在被控制之前确认远程控制,这将会保证一定的安全性。但问题是,这款应用程序却不具备这些安全保护举措。攻击者可轻易猜出 ID,直接通过互联网控制震动棒。
情趣用品安全漏洞或给用户带来大麻烦
不止如此,其中一个漏洞允许未经身份验证的蓝牙连接,可被附近的攻击者利用劫持设备。研究人员还发现,这家公司用来存储客户数据的后端云服务暴露在互联网上,任何人可通过简单易猜的网址发现此类数据。该数据库存储着客户创建的用户名、明文密码、聊天记录和相册,攻击者无需密码就能转储并下载。更恐怖的是,攻击者还可获取用户的真实姓名和家庭住址。
目前尚不清楚该数据库有多少用户。研究人员称用户数量多达6位数。从 Google Play 应用商店可以看出,这款 Android 移动应用程序的用户量介于5万-10万之间。
SEC Consult 2017年11月报告了这些漏洞,但当时并未全部得到修复。这家公司对该数据库采取了安全保护措施。虽然这款应用程序已被修复,但震动棒必须返厂更新,因为不具备远程更新功能。
联网情趣用品与其它IoT设备的情况一样,许多此类设备制造商将功能置于安全之上,从而使用户面临攻击和数据泄露风险。这就引发出各种伦理问题:如果震动棒被黑,是否属于性犯罪?这个问题还有待回答。但有人可能会问,为何会将震动棒联网视为一个好点子?
鉴于此类设备的敏感性和私密性,研究人员仍在继续努力发现情趣用品中的漏洞,以对其进行修复。安全研究人员RenderMan启动了一个“Internet of Dongs”项目,以提高人们对情趣用品安全问题的认识。
其他可能泄露用户信息的情趣用品
2017年3月,加拿大成人情趣用品制造商Standard Innovations的“We-Vibe”配套的 APP 能够反馈用户在使用时的各种数据,确实很新颖,值得围观。但让消费者万万没想到的是不仅自己能够看见这些数据,厂商的工作人员们也可以看到……“We-Vibe”后来因收集用户隐私信息被法院判决向消费者赔偿共计375万美元。
20107年4月,售价近250美元Svakom(司沃康)Siime Eye能轻易被黑客入侵。这款设备本身已经带有视频流功能,网络连接一旦不安全,甚至带来麻烦。如果有人在设备Wi-Fi范围内,他们就可以猜到密码。如果产品的WiFi默认密码(88888888)未被修改,黑客几乎不需要动手就可以立即加入并观看视频。当某人使用这款 Siime Eye,黑客就能在用户不知情的情况下观看视频流,甚至能现场直播。
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com/news/619265129.shtml
推荐阅读:
▼点击“阅读原文” 查看更多精彩内容