セキュリティ研究者らは、スマートセックス玩具に複数の脆弱性を発見した。これらの脆弱性により、ハッカーによるあらゆる種類の悪意ある行為が行われる可能性がある。
ドイツのガジェット企業アモール・ガミワレンが開発した、ブルートゥースとインターネット接続の「ビブラティッシモ・パンティバスター」と、それに関連するオンラインサービスには、プライバシーを侵害する可能性のある欠陥が多数あると、SECコンサルトの研究者らが木曜日に発表した。
この大人のおもちゃは、ワイヤレス接続されたスマートフォンアプリで操作します。この自己愛ガジェットを下着に忍ばせ、自宅や職場など、どこにいても作動させることができます。あるいは、インターネット経由で特別な友人に操作してもらうこともできます。音楽に合わせて操作することもできます。想像力を働かせてください。
Vibratissimoの顧客データ(露骨な画像、チャットログ、性的指向、メールアドレス、平文のパスワードなど)を含むデータベースが、インターネット上で公開されていました。ユーザーの露骨な画像の一覧は、予測可能なID番号と認証チェックの欠如により可能でした。
ええ、露骨な画像です。サイバーディルドから。どうやって?ソーシャルネットワークから。SEC Consultの説明によると:
SEC Consult はThe Regに対し、この漏洩データベースは一般公開されていないことを確認した。
さらに悪いことに、情報セキュリティ担当者は、不気味な悪意ある人物が所有者の同意なしに遠隔操作でデバイスを起動できる可能性があることを発見した。Bluetooth経由、あるいはインターネット経由で、近くのおもちゃに無断で「くすぐり」を行うことも可能だ。
以下は、その欠陥を世間の目に触れさせたビデオです。
YouTubeビデオ
アプリのダウンロード数に基づくと、数万人のユーザーが影響を受ける可能性があります。この調査は、セキュリティコンサルティング会社SEC Consultおよびオーストリアのザンクト・ペルテン専門大学の協力を得て、ヴェルナー・ショーバー氏が実施しました。
Vibratissimo Panty Buster、それに関連する iOS および Android アプリケーション、およびサーバー バックエンドには、次のような複数の脆弱性がありました。
- 顧客データベースの資格情報の開示
- インターネット上に公開された管理インターフェース
- パスワードの平文保存
- 認証されていない Bluetooth LE 接続
- 不十分な認証メカニズム
- 安全でない直接オブジェクト参照
- リモートコントロールの認証がありません
- 反射型クロスサイトスクリプティング
SEC Consultは、ドイツ連邦情報セキュリティ庁傘下のCERT-Bundに連絡を取り、ドイツのベンダーの開示プロセスの調整を支援しました。最も深刻な脆弱性のほとんどは既に修正されています。
カメラ内蔵Wi-Fiセックス玩具が侵入テストに失敗
続きを読む
ハードウェア製造元は、より安全なペアリング方法を実装しており、それがこの快楽機器のファームウェアの新バージョンに組み込まれる予定だと伝えられている。
しかし、研究者によると、アダルトグッズ販売業者は、修正プログラムを公開する前に、他人のデバイスを悪意のある者が遠隔操作することが問題であるかどうかについて異議を唱えていたという。SEC Consultは、メーカー側がそれを「アダルトグッズの望ましい特性」とさえ言っていたと主張している。
アモル・ガミワレン氏にコメントを求めた。
この研究は修士論文の一部として行われ、複数のテレディルドニクスデバイスを含む複数のスマートセックス玩具をレビューすることを目的としています。®
