Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

“Умни” вибратори са пращали незащитени интимни потребителски данни

06 февруари 2018
4869 прочитания
6 одобрения
0 неодобрения

Редица уязвимости в секс играчките Vibratissimo, сред които прихващане на дистанционния контрол, са установили специалисти от компанията SEC Consult. Крайно уязвима е била използваната облачна платформа, към която са се свързвали устройствата. В нея се съдържат всички потребителски данни, включително качени от самите тях откровени снимки, чат логове, информация за сексуалната ориентация, мейл адреси, нешифровани пароли и т.н.

Кадър от обучаващо видео на Vibratissimo

В бюлетина на SEC Consult се говори, че информацията на практика е била достъпна за всички в интернет.

Прочетете още: Ако сте с OnePlus 5T, то може би са откраднали данни за банковата ви карта

Специализираното Android приложение на Vibratissimo е използвало слаб метод за авторизация, който не е препоръчван от специалистите по ИТ сигурност. При него потребителското име и паролата се изпращат до сървъра при всяка заявка, без да е реализирано никакво управление на сесиите. Но поне, в случая, информацията е била предавана в криптиран вид.

Мобилното приложение предлага функция за бърз контрол на вибратора чрез интернет (явно това е от особена важност), като активирането ѝ е ставало чрез изпращане на уникален идентификатор по мейла или чрез SMS. Според SEC Consult проблемът в случая е че връзката с идентификатора не се е генерирала случайно. Това означава, че злоумишленици са можели да налучкат идентификатора и да управляват устройството през интернет (явно това пък е особена заплаха).

Също така устройствата са поддържали връзка през Bluetooth LE без да е необходима никаква автентикация. Т.е. ако злоумишленикът е наблизо, то е можел да поеме контрол над устройството.

Не на последно място, сайтът на Vibratissimo е бил уязвим за мждусайтов скриптинг. Това са атаки, насочени към уеб базирани системи. Те се провеждат като в тях се внедрява страница с вредоносен код, който се изпълнява на компютъра на потребителя, щом отвори адреса, и така се осигурява взаимодействие с уеб сървъри, контролирани от хакери

След получаването на информацията от SEC Consult от Vibratissimo са взели мерки и са отстранили откритите от специалистите слабости.

6 одобрения
0 неодобрения
Още от рубрика "Защита и сигурност"
КОМЕНТАРИ ОТ  
Трябва да сте регистриран потребител, за да коментирате статията
"“Умни” вибратори са пращали незащитени интимни потребителски данни"



    

абонамент за бюлетина