ESET odhalil hrozby inteligentných erotických hračiek.
Značné riziko predstavujú erotické pomôcky, ktoré sa dajú ovládať na diaľku. Tak ako mnohé digitálne zariadenia, aj inteligentné erotické pomôcky majú svoje zraniteľnosti, ktoré dokážu využiť útočníci. V prípade hračiek pre dospelých môžu pre ich chúlostivú povahu obete útoku utrpieť obrovské škody. Medzi hlavné riziká patria úniky citlivých informácií, v horších prípadoch však hrozí aj fyzické nebezpečie.
ESET otestoval bezpečnosť dvoch najpredávanejších pomôcok na trhu – Jive od výrobcu We-Vibe a Max od Lovense. Obe erotické hračky sa ovládajú cez aplikácie, ktoré sú dostupné v online obchode Google Play (We-Connect a Lovense Remote). Slabé miesta objavili výskumníčky v oboch aplikáciách. Zraniteľnosti môžu útočníkom umožniť nainštalovanie škodlivého kódu do mobilu, zmeniť firmvér v erotických pomôckach a dokonca ich naviesť k fyzickému poškodeniu používateľov.
We-Vibe
Zariadenie We-Vibe bolo navrhnuté tak, aby neustále oznamovalo svoju prítomnosť pre spárovanie sa s ovládacím prístrojom. To znamená, že sexuálnu hračku v blízkosti ôsmich metrov môže nájsť každý s Bluetooth vyhľadávačom. Ak pomôcka nebola v danom momente spárovaná s mobilom používateľa, dokázala sa bez overenia pripojiť k hocijakému inému telefónu či tabletu. Útočník by sa tak dokázal za určitých okolností zmocniť kontroly nad samotným vibrátorom.
Analýza poukázala aj na zraniteľnosti v ochrane údajov
Fotografie a videá, ktoré si medzi sebou vymieňajú používatelia, sú uložené v súkromných priečinkoch aplikácie. Po skončení chatu sa okamžite vymažú, čo je z hľadiska bezpečnosti dobrou správou. Horšie to však bolo s metadátami, ktoré zostávali na zdieľanom súbore. V praxi to znamená, že s každou zaslanou fotkou sa mohol príjemca dozvedieť aj informácie o polohe odosielateľa.
Max od Lovense
Ani erotická pomôcka Max od Lovense podľa analýzy ESETu nevyžaduje overenie pri pripojení cez Bluetooth. Dokáže sa zosynchronizovať so vzdialenou erotickou pomôckou a kopírovať jej pohyby. To znamená, že útočník by sa dokázal zmocniť ovládania oboch zariadení. Na rozdiel od aplikácie We-Vibe ale aplikácia Lovense neposúva druhej strane metadáta zaslaných multimediálnych súborov. Niektoré prvky aplikácie však podľa analýzy mohli aj tak ohroziť súkromie používateľov. Nepríjemným zistením bola možnosť preposlať fotografie tretej strane bez toho, aby o tom pôvodný odosielateľ vedel.
Dôvodom na znepokojenie je aj fakt, že aplikácia používa na identifikáciu používateľov ich prihlasovacie mailové adresy. V textovom formáte sú tieto adresy navyše zdieľané so všetkými mobilmi v každom chate. Útočník tak dokáže získať prístup k mailovým adresám všetkých svojich kontaktov. Prostredníctvom týchto údajov môže používateľov napríklad vydierať.
Ako sa chrániť?
Jedným z krokov je vyhýbať sa používaniu týchto zariadení na verejnosti, alebo na miestach s veľkou fluktuáciou ľudí, ako sú napríklad hotely. Počas používania by mali inteligentné hračky zostať pripojené k svojim mobilným aplikáciám. Pomôcky tak nebudú oznamovať svoju prítomnosť možným útočníkom. Pri tom ako napreduje trh s erotickými pomôckami, musia výrobcovia klásť dôraz na kybernetickú bezpečnosť. Každý má predsa právo používať bezpečné technológie.
ESET poslal obom výrobcom detailnú správu o ich zraniteľnostiach a taktiež im poskytla návrhy na odstránenie nedostatkov. V čase publikovania analýzy obe spoločnosti všetky problémy vyriešili.
Zdroj: Eset