Хакери можуть використовувати розумні секс-іграшки для шантажу. Дослідники ESET виявили вразливості в We-Vibe «Jive» і Lovense «Max».
Дослідники ESET виявили серйозні вразливості безпеки в двох підключених секс-іграшках. We-Vibe «Jive» і Lovense «Max» досягли високих продажів під час пандемії Корона. Величезний інтерес також приваблює кіберзлочинців. Дослідники ESET знайшли вразливі місця в додатках, які керують двома секс-іграшками. Це може дозволити зловмисникам встановити зловмисне програмне забезпечення на використовувані смартфони, а також викрасти дані. Окрім можливих фізичних збитків від неправильного використання пристроїв, існує ризик шантажу викраденими фотографіями, чатами чи іншими даними. Обидва виробники отримали інформацію про уразливості від ESET і вже закрили їх. Експерти європейського виробника ІТ-безпеки опублікували свій аналіз у білому документі на WeliveSecurity.
Розумні секс-іграшки
«ІТ-безпека має бути пріоритетною, особливо при розробці інтелектуальних секс-іграшок. Можлива небезпека для користувача висока, ніхто не хоче, щоб його шантажували інтимними записами чи розмовами», – пояснюють дослідники ESET Деніз Джусто та Сесілія Пасторіно. «У більшості сучасних секс-іграшок виробники злочинно нехтують аспектом безпеки. Це необхідно терміново змінити з подальшим розвитком цих пристроїв».
Пристрої привабливі для злочинців
З появою передових моделей секс-іграшок, які включають додатки, обмін повідомленнями, відеочат і веб-з’єднання, пристрої стали все більш привабливими для кіберзлочинців і легшими для експлуатації. Крадіжка даних у цій сфері може мати руйнівні наслідки для користувача, витоку інформації, такої як сексуальна орієнтація, сексуальна поведінка та інтимні фотографії. Тому для захисту конфіденційності важливо приділяти високу увагу ІТ-безпеці під час планування та розробки цих пристроїв.
Ми-Vibe
Дослідники ESET виявили, що We-Vibe "Jive" постійно повідомляє про свою присутність, завдяки чому його можна виявити за допомогою сканера Bluetooth. Потенційні зловмисники можуть використати це, щоб ідентифікувати пристрій і використати силу сигналу, щоб зв’язатися з оператором. Пристрій використовує метод сполучення з низьким енергоспоживанням Bluetooth (скорочено: BLE). Тут можна без проблем змінити тимчасовий код ключа, який використовується пристроями під час встановлення з’єднання. Це дозволяє будь-якому пристрою підключатися до «Джайву». Автентифікація не потрібна. Офіційний додаток виробника не потрібен для отримання керування, достатньо браузера. Це робить пристрій дуже вразливим до атак типу "людина посередині" (MitM).
Інша проблема існує в обмінах між користувачами під час сеансів чату. Користувачі мають можливість надсилати мультимедійні файли. Існує ризик того, що інформація про використовувані пристрої та точну геолокацію також буде передана.
Ловензе
Lovense "Max" може синхронізуватися з віддаленим аналогом. Це означає, що зловмисники можуть отримати контроль над обома пристроями, навіть якщо зламано лише один. На пристрої Lovense дизайн програми становить загрозу конфіденційності користувачів. Існують варіанти пересилання зображень третім особам без відома власника. Так само видалені або заблоковані користувачі все ще мають доступ до історії чату та всього спільного мультимедійного вмісту.
Крім того, цей пристрій не включає автентифікацію для з’єднань BLE, тому його можна використовувати для атак MitM для перехоплення з’єднання, надсилання команд і керування двигунами пристрою. Крім того, використання адрес електронної пошти в ідентифікаторах користувачів програми викликає деякі проблеми з конфіденційністю, оскільки адреси передаються у вигляді звичайного тексту на всіх телефонах, які беруть участь у чаті.
Дізнайтеся більше на WeLiveSecurity на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.