“Умни” вибратори са пращали незащитени интимни потребителски данни
Редица уязвимости в секс играчките Vibratissimo, измежду които прихващане на отдалечения надзор, са открили експерти от компанията SEC Consult. Крайно уязвима е била употребяваната облачна платформа, към която са се свързвали устройствата. В нея се съдържат всички потребителски данни, в това число качени от самите тях откровени фотоси, чат логове, информация за половата ориентировка, мейл адреси, нешифровани пароли и така нататък
В бюлетина на SEC Consult се приказва, че информацията на процедура е била налична за всички в интернет.
Прочетете още: Ако сте с OnePlus 5T, то може би са откраднали данни за банковата ви карта
Специализираното Android приложение на Vibratissimo е употребило слаб способ за авторизация, който не е препоръчван от експертите по ИТ сигурност. При него потребителското име и паролата се изпращат до сървъра при всяка поръчка, без да е осъществено никакво ръководство на сесиите. Но най-малко, в тази ситуация, информацията е била излъчена в криптиран тип.
Мобилното приложение предлага функционалност за бърз надзор на вибратора посредством интернет (явно това е от особена важност), като активирането ѝ е ставало посредством изпращане на неповторим идентификатор по мейла или посредством SMS. Според SEC Consult казусът в тази ситуация е че връзката с идентификатора не се е генерирала инцидентно. Това значи, че злоумишленици са можели да налучкат идентификатора и да ръководят устройството през интернет (явно това пък е особена заплаха).
Също по този начин устройствата са поддържали връзка през Bluetooth LE без да е нужна никаква автентикация. Т.е. в случай че злоумишленикът е наоколо, то е можел да поеме надзор над устройството.
Не на последно място, уеб сайтът на Vibratissimo е бил уязвим за мждусайтов скриптинг. Това са офанзиви, ориентирани към уеб основани системи. Те се организират като в тях се внедрява страница с вредоносен код, който се извършва на компютъра на потребителя, щом отвори адреса, и по този начин се обезпечава взаимоотношение с уеб сървъри, следени от хакери
След приемането на информацията от SEC Consult от Vibratissimo са взели ограничения и са отстранили откритите от експертите недостатъци.
В бюлетина на SEC Consult се приказва, че информацията на процедура е била налична за всички в интернет.
Прочетете още: Ако сте с OnePlus 5T, то може би са откраднали данни за банковата ви карта
Специализираното Android приложение на Vibratissimo е употребило слаб способ за авторизация, който не е препоръчван от експертите по ИТ сигурност. При него потребителското име и паролата се изпращат до сървъра при всяка поръчка, без да е осъществено никакво ръководство на сесиите. Но най-малко, в тази ситуация, информацията е била излъчена в криптиран тип.
Мобилното приложение предлага функционалност за бърз надзор на вибратора посредством интернет (явно това е от особена важност), като активирането ѝ е ставало посредством изпращане на неповторим идентификатор по мейла или посредством SMS. Според SEC Consult казусът в тази ситуация е че връзката с идентификатора не се е генерирала инцидентно. Това значи, че злоумишленици са можели да налучкат идентификатора и да ръководят устройството през интернет (явно това пък е особена заплаха).
Също по този начин устройствата са поддържали връзка през Bluetooth LE без да е нужна никаква автентикация. Т.е. в случай че злоумишленикът е наоколо, то е можел да поеме надзор над устройството.
Не на последно място, уеб сайтът на Vibratissimo е бил уязвим за мждусайтов скриптинг. Това са офанзиви, ориентирани към уеб основани системи. Те се организират като в тях се внедрява страница с вредоносен код, който се извършва на компютъра на потребителя, щом отвори адреса, и по този начин се обезпечава взаимоотношение с уеб сървъри, следени от хакери
След приемането на информацията от SEC Consult от Vibratissimo са взели ограничения и са отстранили откритите от експертите недостатъци.
Източник: pcworld.bg
КОМЕНТАРИ