研究人員週二披露,支援連網的男性貞操裝置存在安全漏洞,進而讓駭客能夠遠端控制該裝置,並永久鎖住穿戴者。
由中國公司 Qiui 製造的 Cellmate Chastity Cage 男性貞操環,使用者可以將其生殖器的使用權移交給性伴侶,性伴侶可以透過 App 遠端鎖定並解鎖該裝置。 但是,根據英國滲透測試安全公司 Pen Test Partners 指出,該 App 設計存在許多弱點,這也意味著「任何人都可以遠端鎖定所有裝置,並阻止使用者自我解鎖」。
更糟糕的是,由於這款貞操環沒有配備手動強制開關或實體鑰匙,因此被鎖定的使用者可以解套的選擇實在不多。一種是切斷該裝置上的高硬度鋼掛鎖,這項作業需要使用螺栓切割器或砂輪機,而且由於配戴者的睪丸被掛鎖團團包覆住,因此變得更加棘手。Pen Test Partners 另外發現了一種方法,亦即藉由三伏特的電壓(大約兩顆 AA 電池的電量)讓控制該鎖馬達的電路板過載。
製造商 Qui 進退維谷
「在許多 IoT 領域裡發現這樣的問題並不少見,所以遠端遙控情趣用品(Teledildonics)也不例外,」Pen Test Partners 安全研究員 Alex Lomas 表示。「多年來,我們和其他研究人員都在不同的情趣玩具製造商中都發現了類似的問題。我個人認為,最私密的裝置應該比智慧燈泡採用更高的標準才對。」過去在連網情趣玩具中發現的安全漏洞,的確讓駭客有可能從連網情趣裝置上劫持即時串流影片,並控制藍牙情趣裝置。
在這次 Cellmate Chastity Cage 貞操環的案例中,該裝置製造商對於這一漏洞,似乎採取異常緘默的冷處理態度。Pen Test Partners 研究人員表示,他們在 4 月首度向 Qiui 披露了此一問題,並得到了迅速的答覆,但該公司並未完全解決該漏洞,並就此停止了電子郵件的回覆。
這一切問題都來自於用來在貞操環與行動 App 之間進行溝通的 API 身上。這不僅讓駭客可以遠端控制裝置,而且還可以獲得存取包括位置資料和密碼在內等資訊的權限。Qiui 於 6 月更新了這款貞操環的 App 以修復該漏洞,但尚未更新 App 的使用者仍然存在易招致攻擊的漏洞。
正如 Lomas 解釋的那樣,Quii 似乎有點進退兩難。如果它完全禁用舊的 API,它將解決安全漏洞,但尚未更新 App 的使用者仍有可能遭到遠端惡意鎖定。但是若保留原始 API 的功能,那麼較舊版本的 App 會持續伴隨著原封不動的安全漏洞運作。Pen Test Partners 表示,在與 Qiui 連絡之後的幾個月,該公司和其他發現相同問題的獨立研究人員決定公開一切,以迫使原廠提供更徹底完整的修復。
蘋果及 Google 充斥抱怨及負評
但這個特殊的漏洞似乎只是 Cellmate 產品諸多問題中最微不足道的。在蘋果 App Store 和 Google Play Store 應用商店上對該裝置行動 App 的評論中,充斥了許多失望顧客的抱怨之詞,他們表示該 App 經常隨機停擺。
「這個 App 在 3 天後完全停擺,而我完全被卡住了!」一位使用者寫道。 「這是危險軟體,千萬不要把自己鎖住了!」另一位只給一星評價的使用者寫道:「這個 App 竟然在更新後中止解鎖。有鑑於人們對他寄予該有的信任度,這實在太可怕了,網站上也沒有任何解說。」
那麼,人們在購買連網情趣玩具時可以做些什麼來避免這種安全漏洞的危害呢?Lomas 表示,很遺憾,購買這些產品仍然毫無保證可言。「僅僅透過產品或 App 的檢視,很難判斷它是否安全地儲存了你的資料,或者它們是否正在擷取詳細的使用資訊等,」他表示。可以確定的是,在購買前先做好功課才是明哲保身之道。
(首圖來源:QUI)
本文獲授權轉載自科技新報,原文出處: 真的 GG 了!中國製連網男性貞操環會被駭客遠端鎖定 Evan
你必須登入才能發表留言。