Os hackers podem usar brinquedos sexuais inteligentes para chantagem. Pesquisadores da ESET descobrem vulnerabilidades em We-Vibe "Jive" e Lovense "Max".
Os pesquisadores da ESET encontraram sérias vulnerabilidades de segurança em dois brinquedos sexuais conectados. O We-Vibe "Jive" e o Lovense "Max" alcançam altas vendas durante a pandemia de Corona. O imenso interesse também atrai cibercriminosos. Os pesquisadores da ESET encontraram as vulnerabilidades nos aplicativos que controlam os dois brinquedos sexuais. Isso pode permitir que invasores instalem malware nos smartphones usados e também roubem dados. Além dos possíveis danos físicos decorrentes do uso indevido dos aparelhos, existe o risco de ser chantageado com fotos roubadas, chats ou outros dados. Ambos os fabricantes receberam informações sobre as vulnerabilidades da ESET e já as fecharam. Os especialistas do fabricante europeu de segurança de TI publicaram suas análises em um white paper sobre WeliveSecurity.
brinquedos sexuais inteligentes
“A segurança de TI deve receber alta prioridade, especialmente no desenvolvimento de brinquedos sexuais inteligentes. Os possíveis perigos para o usuário são altos, ninguém quer ser chantageado com gravações ou conversas íntimas”, explicam as pesquisadoras da ESET Denise Giusto e Cecilia Pastorino. “Com a maioria dos brinquedos sexuais atuais, o aspecto de segurança foi negligenciado pelos fabricantes. Isso precisa mudar urgentemente com o desenvolvimento desses dispositivos.”
Dispositivos são atraentes para criminosos
Com o advento de modelos avançados de brinquedos sexuais que incluem aplicativos, mensagens, bate-papo por vídeo e interconectividade baseada na web, os dispositivos se tornaram cada vez mais atraentes para os cibercriminosos e mais fáceis de explorar. O roubo de dados nessa área pode ser devastador para o usuário, vazando informações como orientação sexual, comportamento sexual e fotos íntimas. Para proteger a privacidade, é essencial dar alta prioridade à segurança de TI ao planejar e desenvolver esses dispositivos.
We-Vibe
Os pesquisadores da ESET descobriram que o We-Vibe "Jive" constantemente anuncia sua presença, tornando-o detectável com um scanner Bluetooth. Os invasores em potencial podem usar isso para identificar o dispositivo e usar a intensidade do sinal para alcançar a operadora. O dispositivo usa o método de emparelhamento de baixa energia Bluetooth (abreviado: BLE). Aqui é possível alterar o código-chave temporário que é usado pelos dispositivos enquanto a conexão está sendo estabelecida sem problemas. Isso permite que qualquer dispositivo se conecte ao "Jive". A autenticação não é necessária. O aplicativo oficial do fabricante não seria necessário para obter o controle, um navegador é suficiente. Isso torna o dispositivo muito vulnerável a ataques man-in-the-middle (MitM).
Outro problema existe nas trocas entre os usuários durante as sessões de chat. Os usuários têm a opção de enviar arquivos multimídia. Existe o risco de que informações sobre os dispositivos utilizados e a geolocalização exata também sejam compartilhadas.
Amor
O Lovense "Max" pode sincronizar com uma contraparte remota. Isso significa que os invasores podem assumir o controle de ambos os dispositivos, mesmo que apenas um tenha sido comprometido. No dispositivo Lovense, o design do aplicativo é uma ameaça à privacidade dos usuários. Existem opções para que as imagens sejam encaminhadas a terceiros sem o conhecimento do proprietário. Da mesma forma, os usuários excluídos ou bloqueados ainda têm acesso ao histórico do bate-papo e a todo o conteúdo multimídia compartilhado.
Além disso, este dispositivo não inclui autenticação para conexões BLE, portanto, pode ser usado para ataques MitM para interceptar a conexão, enviar comandos e controlar os motores do dispositivo. Além disso, o uso de endereços de e-mail nos IDs de usuário do aplicativo levanta algumas questões de privacidade, pois os endereços são compartilhados em texto simples em todos os telefones envolvidos em um bate-papo.
Saiba mais em WeLiveSecurity em ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.