Приближается День святого Валентина. Некоторые, вероятно, подумывают приобрести партнеру в подарок необычный интимный гаджет. Но им, возможно, стоит пересмотреть свои планы: уровень кибербезопасности у новомодных игрушек с подключением к интернету в последние годы остается ожидаемо низким. И, похоже, положение дел не улучшается, если верить исследованию, опубликованному на прошлой неделе австрийской компанией SEC Consult.
Проверив секс-игрушку для женщин Panty Buster от Vibratissimo, исследователи обнаружили множество уязвимых мест устройства и связанных с ним сайтов. Несомненно, самой серьезной проблемой (которую, к счастью, была немедленно решена владельцем Vibratissimo, компанией Amor Gummiwaren) стала возможность получить доступ к базе со всеми данными о клиентах, просто введя логин и пароль из открытого файла на сайте vibratissimo.com. Можно было завладеть паролями к аккаунтам владельцев секс-игрушек, поскольку они тоже находились в свободном доступе. Затем хакер мог увидеть чувствительные данные, включая откровенные фотографии, сведения о сексуальной ориентации и домашние адреса согласно публикации в блоге SEC.
Удаленная вибрация без согласия
Это еще не все. Из-за дефекта одной из опций стало возможным получить удаленный контроль над игрушкой, объяснила SEC. Когда пользователи Vibratissimo хотят разрешить кому-то на расстоянии контролировать Panty Buster, у них есть приложение, которое генерирует ссылку и отсылает ее партнеру. Но эти ссылки легко угадать, и у владельца игрушки не спрашивают подтверждения на предоставление доступа другому человеку. «Преступник может просто угадать предсказуемый ID и получить прямой доступ к жертве», — отметила SEC.
Чтобы доказать, как легко получить контроль над устройством этим способом, SEC подготовила видео:
Хотя владельцы Vibratissimo еще не успели полностью устранить эту проблему, SEC полагает, что необходимые обновления скоро будут выпущены. Йоханнес Грейль, руководитель лаборатории по исследованию уязвимостей SEC Consult, рассказал Forbes: «Первичные тесты выявили весьма существенные проблемы, но поставщик заявил, что в ближайшее время планирует исправить и эти недостатки. Как обычно, мы рекомендуем проведение дополнительных проверок безопасности, чтобы повысить уровень защиты таких продуктов».
С учетом популярности приложений Vibratissimo пользователям стоило бы по возможности загружать обновления. Согласно данным Google Play figures, от 50 000 до 100 000 пользователей установили соответствующее приложение для Android. Неизвестно, сколько владельцев iPhone используют Panty Buster, хотя SEC предполагает, что число затронутых пользователей достигает шестизначных величин.
Капризная игрушка
Кроме того, в Panty Buster использовалось ненадежное Bluetooth-соединение: отсутствие аутентификации входящих подключений позволяло хакеру получить контроль над устройством, если он находился в пределах досягаемости. После того как SEC сообщила об этой проблеме CERT-Bund, немецкому ведомству, которое помогает поставщикам узнавать о проблемах с безопасностью, выяснилось, что это была не ошибка, а запланированная характеристика, согласно записи в блоге. По сообщению SEC, Vibratissimo заявила, что ее клиентам был нужен полностью открытый доступ, особенно тем из них, кто посещал свингерские вечеринки.
Проблема была решена: исследователи сообщают, что производители предусмотрели более надежный способ подключения. Но поскольку обновление касается фабричных настроек, клиентам приходится посылать устройства в Amor Gummiwaren, чтобы устранить неполадки.
Еще один до сих пор не устраненный недостаток позволял кому угодно просмотреть фотографии, которые загружали пользователи Vibratissimo. Суть проблемы состояла в том, что изображения можно было легко найти, просто зная правильный URL. Поскольку идентификатор для каждой фотографии — всего лишь число, которое увеличивается на единицу для последующих файлов, посторонним нетрудно догадаться, что следует искать.
На момент публикации статьи Amor Gummiwaren не ответила на просьбу дать комментарии.
Впрочем, можно ожидать, что в ближайшие месяцы команда Грейля обнаружит новые уязвимые места секс-игрушек, подключенных к интернету. Работа над их исследовательским проектом Internet of Dildos продолжается.
Перевод Натальи Балабанцевой