Gli hacker possono utilizzare giocattoli sessuali intelligenti per il ricatto. I ricercatori ESET scoprono vulnerabilità in We-Vibe "Jive" e Lovense "Max".
I ricercatori ESET hanno trovato gravi vulnerabilità di sicurezza in due giocattoli sessuali connessi. Il We-Vibe "Jive" e il Lovense "Max" ottengono vendite elevate durante la pandemia di Corona. L'immenso interesse attira anche i criminali informatici. I ricercatori ESET hanno trovato le vulnerabilità nelle app che controllano i due sex toys. Ciò potrebbe consentire agli aggressori di installare malware sugli smartphone utilizzati e rubare anche dati. Oltre a possibili danni fisici dovuti all'uso improprio dei dispositivi, esiste il rischio di essere ricattati con foto rubate, chat o altri dati. Entrambi i produttori hanno ricevuto informazioni sulle vulnerabilità da ESET e le hanno già chiuse. Gli esperti del produttore europeo di sicurezza informatica hanno pubblicato la loro analisi in un white paper su WeliveSecurity.
Giocattoli sessuali intelligenti
“La sicurezza informatica deve avere la massima priorità, soprattutto quando si sviluppano giocattoli sessuali intelligenti. I possibili pericoli per l'utente sono alti, nessuno vuole essere ricattato con registrazioni o conversazioni intime», spiegano le ricercatrici ESET Denise Giusto e Cecilia Pastorino. “Con la maggior parte dei giocattoli sessuali attuali, l'aspetto della sicurezza è stato criminalmente trascurato dai produttori. Questo deve urgentemente cambiare con l'ulteriore sviluppo di questi dispositivi.
I dispositivi attirano i criminali
Con l'avvento di modelli avanzati di giocattoli sessuali che includono app, messaggistica, chat video e interconnettività basata sul Web, i dispositivi sono diventati sempre più attraenti per i criminali informatici e più facili da sfruttare. Il furto di dati in quest'area può essere devastante per l'utente, poiché fa trapelare informazioni come orientamento sessuale, comportamento sessuale e foto intime. Al fine di proteggere la privacy, è quindi essenziale dare un'elevata priorità alla sicurezza informatica durante la progettazione e lo sviluppo di questi dispositivi.
We-Vibe
I ricercatori ESET hanno scoperto che il We-Vibe "Jive" annuncia costantemente la sua presenza, rendendolo rilevabile con uno scanner Bluetooth. I potenziali aggressori potrebbero usarlo per identificare il dispositivo e utilizzare la potenza del segnale per raggiungere il vettore. Il dispositivo utilizza il metodo di accoppiamento Bluetooth a basso consumo energetico (abbreviato: BLE). Qui è possibile modificare senza problemi il codice chiave temporaneo utilizzato dai dispositivi durante la creazione della connessione. Ciò consente a qualsiasi dispositivo di connettersi al "Jive". L'autenticazione non è necessaria. L'app ufficiale del produttore non sarebbe necessaria per ottenere il controllo, è sufficiente un browser. Ciò rende il dispositivo molto vulnerabile agli attacchi man-in-the-middle (MitM).
Un altro problema esiste negli scambi tra utenti durante le sessioni di chat. Gli utenti hanno la possibilità di inviare file multimediali. Esiste il rischio che vengano condivise anche le informazioni sui dispositivi utilizzati e l'esatta geolocalizzazione.
Lovense
Il Lovense "Max" può sincronizzarsi con una controparte remota. Ciò significa che gli aggressori possono assumere il controllo di entrambi i dispositivi anche se solo uno è stato compromesso. Sul dispositivo Lovense, il design dell'app è una minaccia per la privacy degli utenti. Ci sono opzioni per l'inoltro delle immagini a terzi all'insaputa del proprietario. Allo stesso modo, gli utenti eliminati o bloccati hanno ancora accesso alla cronologia chat e a tutti i contenuti multimediali condivisi.
Inoltre, questo dispositivo non include l'autenticazione per le connessioni BLE, quindi può essere utilizzato per gli attacchi MitM per intercettare la connessione, inviare comandi e controllare i motori del dispositivo. Inoltre, l'uso di indirizzi e-mail negli ID utente dell'app solleva alcuni problemi di privacy, poiché gli indirizzi sono condivisi in testo normale su tutti i telefoni coinvolti in una chat.
Scopri di più su WeLiveSecurity su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.