Информация, которая обрабатывается подобными устройствами, состоит из высокочувствительных данных, таких как пол пользователя, имя, сексуальная ориентация, список партнёров, личные фото и видеозаписи
По данным информационного портала по безопасности «SecurityLab», специалисты международной компании-разработчика антивирусного программного обеспечения «ESET» сообщили о том, что недавно появившиеся на рынке интимные игрушки могут быть проэксплуатированы хакерами.
Исследовательницы Дениз Билич и Сесилия Пасторино продемонстрировали, как технологии вроде Bluetooth и небезопасные API делают персональные IoT-устройства уязвимыми к атакам, которые идут далеко за пределы компрометации приватности пользователей.
По словам специалистов, секс-игрушки нового поколения оснащены многими функциями, такими как обмен сообщениями, online-конференция, Bluetooth и доступ к Сети. Уточняется, что большинство подобных устройств имеют два канала связи. Во-первых, связь между игрушкой и пользователем смартфона устанавливается с помощью технологии Bluetooth Low Energy (BLE). Во-вторых, для того, чтобы «связать» приложение и устройство необходимо подключиться к интернету. Известно, что «умные» игрушки используют серверы с конечными точками API, которые обрабатывают запросы.
Иногда облачный сервис выступает в качестве посредника между устройством и смартфоном и использует такие функции, как передача файлов, видеоконференцсвязь и чат, а также способен предоставлять возможность удалённого управления.
Уточняется, что информация, которая обрабатывается секс-игрушками, состоит из высокочувствительных данных, таких как пол пользователя, имя, сексуальная ориентация, список партнёров, личные фото и видеозаписи. В случае утечки подобные вещи могут скомпрометировать юзера, и этим воспользуются мошенники и шантажисты.
По словам экспертов, интимные игрушки также могут представлять угрозу здоровью пользователей, например, из-за перегревания. Более того, злоумышленники способны «перехватить» контроль над устройством во время его работы и отправлять команды.
Дениз Билич и Сесилия Пасторино проанализировали «умные» игрушки Max от компаний «Lovense» и «We-Vibe Jive». Выяснилось, что оба эти устройства используют систему «Just Works», наименее безопасный метод сопряжения Bluetooth. При помощи фреймворка BtleJuice и двух BLE-ключей исследовательницы продемонстрировали, как злоумышленник может взять под контроль секс-игрушку и перехватить управление ею. Он может модифицировать команды и передавать их снова, чтобы изменять настройки устройства, в том числе режим вибрации, интенсивность и прочее.
Помимо этого, конечные точки API, с помощью которых происходит подключение удалённого партнёра, используют токен, подбираемый путём перебора. Это позволяет злоумышленнику удалённо контролировать устройство, ожидающее подключения через активные токены, без согласия или ведома пользователя.
Ранее «Центральная служба новостей» писала о том, что киберэксперт призвал срочно удалить «очень опасное» приложение на телефоне.
