Les pirates peuvent utiliser des jouets sexuels intelligents pour faire du chantage. Les chercheurs d'ESET découvrent des vulnérabilités dans We-Vibe "Jive" et Lovense "Max".
Les chercheurs d'ESET ont découvert de graves failles de sécurité dans deux jouets sexuels connectés. Le We-Vibe "Jive" et le Lovense "Max" réalisent des ventes élevées pendant la pandémie de Corona. L'immense intérêt attire également les cybercriminels. Les chercheurs d'ESET ont découvert les vulnérabilités des applications qui contrôlent les deux jouets sexuels. Cela pourrait permettre aux attaquants d'installer des logiciels malveillants sur les smartphones utilisés et également de voler des données. Outre les éventuels dommages physiques résultant d'une mauvaise utilisation des appareils, il existe un risque de chantage avec des photos, des chats ou d'autres données volés. Les deux fabricants ont reçu des informations sur les vulnérabilités d'ESET et les ont déjà fermées. Les experts du fabricant européen de sécurité informatique ont publié leur analyse dans un livre blanc sur WeliveSecurity.
Jouets sexuels intelligents
« La sécurité informatique doit être une priorité absolue, en particulier lors du développement de jouets sexuels intelligents. Les dangers possibles pour l'utilisateur sont élevés, personne ne veut être victime de chantage avec des enregistrements ou des conversations intimes », expliquent les chercheuses d'ESET Denise Giusto et Cecilia Pastorino. "Avec la plupart des sextoys actuels, l'aspect sécurité a été criminellement négligé par les fabricants. Cela doit changer de toute urgence avec le développement ultérieur de ces appareils. »
Les appareils attirent les criminels
Avec l'avènement de modèles avancés de jouets sexuels qui incluent des applications, la messagerie, le chat vidéo et l'interconnectivité basée sur le Web, les appareils sont devenus de plus en plus attrayants pour les cybercriminels et plus faciles à exploiter. Le vol de données dans ce domaine peut être dévastateur pour l'utilisateur, en divulguant des informations telles que l'orientation sexuelle, le comportement sexuel et les photos intimes. Afin de protéger la vie privée, il est donc essentiel d'accorder une grande priorité à la sécurité informatique lors de la planification et du développement de ces appareils.
We-Vibe
Les chercheurs d'ESET ont découvert que le We-Vibe "Jive" annonce constamment sa présence, ce qui le rend détectable avec un scanner Bluetooth. Les attaquants potentiels pourraient l'utiliser pour identifier l'appareil et utiliser la force du signal pour atteindre le transporteur. L'appareil utilise la méthode d'appairage Bluetooth à faible consommation d'énergie (abrégé : BLE). Ici, il est possible de modifier sans problème le code de clé temporaire utilisé par les appareils pendant l'établissement de la connexion. Cela permet à n'importe quel appareil de se connecter au "Jive". L'authentification n'est pas nécessaire. L'application officielle du fabricant ne serait pas nécessaire pour prendre le contrôle, un navigateur suffit. Cela rend l'appareil très vulnérable aux attaques de l'homme du milieu (MitM).
Un autre problème existe dans les échanges entre utilisateurs lors des sessions de chat. Les utilisateurs ont la possibilité d'envoyer des fichiers multimédias. Il existe un risque que des informations sur les appareils utilisés et la géolocalisation exacte soient également partagées.
Lovense
Le Lovense "Max" peut se synchroniser avec un homologue distant. Cela signifie que les attaquants peuvent prendre le contrôle des deux appareils même si un seul a été compromis. Sur l'appareil Lovense, la conception de l'application est une menace pour la vie privée des utilisateurs. Il existe des options pour que les images soient transmises à des tiers à l'insu du propriétaire. De même, les utilisateurs supprimés ou bloqués ont toujours accès à l'historique des discussions et à tout le contenu multimédia partagé.
De plus, cet appareil n'inclut pas l'authentification pour les connexions BLE, il peut donc être utilisé pour les attaques MitM pour intercepter la connexion, envoyer des commandes et contrôler les moteurs de l'appareil. De plus, l'utilisation d'adresses e-mail dans les ID utilisateur de l'application soulève des problèmes de confidentialité, car les adresses sont partagées en texte brut sur tous les téléphones impliqués dans un chat.
En savoir plus sur WeLiveSecurity sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.