Kako na tržište izlaze sve novije i tehnološki naprednije seks igračke, koje uključuju mobilne aplikacije, razmenu poruka, video ćaskanje i međusobnu povezanost preko interneta, uređaji postaju sve privlačniji sajber kriminalcima i lakši za zloupotrebu.
Posledice curenja podataka u ovoj sferi mogu da budu posebno katastrofalne kada se ukradene informacije tiču seksualne orijentacije, seksualnih ponašanja i intimnih fotografija.
Istraživači kompanije ESET otkrili su ranjivosti u aplikacijama koje kontrolišu obe pametne seks igračke koje su ispitivali.
Te ranjivosti bi mogle da omoguće malveru da bude instaliran ili povezan sa telefonom, da firmver u igračkama bude izmenjen ili čak da se uređaj namerno modifikuje kako bi naneo fizičku povredu korisniku.
Kako bi se pozabavili ovim pretnjama i ispitali koliko su zaštićene pametne igračke, istraživači kompanije ESET su analizirali dve najprodavanije igračke za odrasle na tržištu.
We-Vibe
Kao nosivi uređaj, We-Vibe Jive je podložan korišćenju u nebezbednim okruženjima. Pokazalo se da uređaj konstantno objavljuje svoje prisustvo zbog povezivanja – što znači da svako sa Bluetooth skenerom može da vidi uređaj u svojoj blizini, do razdaljine od osam metara.
Potencijalni napadači bi mogli da identifikuju uređaj i iskoriste jačinu signala da ih odvede do nosioca.
Zvanična aplikacija proizvođača nije neophodna da bi se preuzela kontrola nad uređajem, jer većina pretragača nudi funkcije koje pomažu s tim.
Jive koristi najnesigurniji način BLE povezivanja, pri čemu se privremeni kod koji uređaji koriste prilikom uparivanja podešava na nulu, i samim tim, svaki uređaj može da se poveže koristeći nulu kao šifru. Vibe je vrlo ranjiv na posredne napade, jer neupareni Jive bi mogao automatski da se upari sa bilo kojim mobilnim telefonom, tablet uređajem ili kompjuterom koji uputi zahtev, bez sprovođenja verifikacije ili potvrde identiteta.
Lovense Max
Max ima sposobnost da se sinhronizuje sa istim uređajem na daljinu, što znači da bi napadač mogao da preuzme kontrolu nad oba uređaja tako što će kompromitovati samo jedan od njih. Međutim, multimedijalni fajlovi ne uključuju metapodatke kada ih primate sa udaljenog uređaja, a aplikacija nudi opciju da konfigurišete šablon za otvaranje prevlačenjem preko brojeva na brojčaniku, čime se nasilni napadi dosta otežavaju.
Neki elementi aplikacije mogu predstavljati pretnju za privatnost korisnika, kao na primer opcija da se slike forvarduju trećim licima bez znanja vlasnika a obrisani ili blokirani korisnici i dalje imaju pristup istoriji ćaskanja i svim prethodno podeljenim multimedijalnim fajlovima. Lovense Max takođe ne koristi potvrdu identiteta za povezivanje preko BLE, tako da posredni napad može da se iskoristi da presretne konekciju i pošalje komande za upravljanje uređajem. Pored toga, aplikacija koristi imejl adrese u okviru korisničkog imena što predstavlja sigurnosni problem, jer se adrese dele u tekstualnom formatu između svih telefona koji su uključeni u ćaskanje.
Developeri oba uređaja su dobili detaljni izveštaj o ranjivostima i predloge kako da ih poprave i, pre nego što je istraživanje objavljeno, sve ranjivosti su bile uklonjene.
Ako želite da pročitate više o celoj ESET analizi bezbednosti ovih pametnih seks igračaka, nazvanoj Seks u digitalnoj eri, kliknite na sledeći link.