Уязвимые места

Хакеры с помощью игрушки Panty Buster выставила на всеобщее обозрение интимную жизнь 50 000 пользователей

Приближается День святого Валентина. Некоторые, вероятно, подумывают приобрести партнеру в подарок необычный интимный гаджет. Но им, возможно, стоит пересмотреть свои планы: уровень кибербезопасности у новомодных игрушек с подключением к интернету в последние годы остается ожидаемо низким. И, похоже, положение дел не улучшается, если верить исследованию, опубликованному на прошлой неделе австрийской компанией SEC Consult.

Проверив секс-игрушку для женщин Panty Buster от Vibratissimo, исследователи обнаружили множество уязвимых мест устройства и связанных с ним сайтов. Несомненно, самой серьезной проблемой (которую, к счастью, была немедленно решена владельцем Vibratissimo, компанией Amor Gummiwaren) стала возможность получить доступ к базе со всеми данными о клиентах, просто введя логин и пароль из открытого файла на сайте vibratissimo.com. Можно было завладеть паролями к аккаунтам владельцев секс-игрушек, поскольку они тоже находились в свободном доступе. Затем хакер мог увидеть чувствительные данные, включая откровенные фотографии, сведения о сексуальной ориентации и домашние адреса согласно публикации в блоге SEC.

Удаленная вибрация без согласия

Это еще не все. Из-за дефекта одной из опций стало возможным получить удаленный контроль над игрушкой, объяснила SEC. Когда пользователи Vibratissimo хотят разрешить кому-то на расстоянии контролировать Panty Buster, у них есть приложение, которое генерирует ссылку и отсылает ее партнеру. Но эти ссылки легко угадать, и у владельца игрушки не спрашивают подтверждения на предоставление доступа другому человеку. «Преступник может просто угадать предсказуемый ID и получить прямой доступ к жертве», — отметила SEC.

Чтобы доказать, как легко получить контроль над устройством этим способом, SEC подготовила видео:

Хотя владельцы Vibratissimo еще не успели полностью устранить эту проблему, SEC полагает, что необходимые обновления скоро будут выпущены. Йоханнес Грейль, руководитель лаборатории по исследованию уязвимостей SEC Consult, рассказал Forbes: «Первичные тесты выявили весьма существенные проблемы, но поставщик заявил, что в ближайшее время планирует исправить и эти недостатки. Как обычно, мы рекомендуем проведение дополнительных проверок безопасности, чтобы повысить уровень защиты таких продуктов».

С учетом популярности приложений Vibratissimo пользователям стоило бы по возможности загружать обновления. Согласно данным Google Play figures, от 50 000 до 100 000 пользователей установили соответствующее приложение для Android. Неизвестно, сколько владельцев iPhone используют Panty Buster, хотя SEC предполагает, что число затронутых пользователей достигает шестизначных величин.

Капризная игрушка

Кроме того, в Panty Buster использовалось ненадежное Bluetooth-соединение: отсутствие аутентификации входящих подключений позволяло хакеру получить контроль над устройством, если он находился в пределах досягаемости. После того как SEC сообщила об этой проблеме CERT-Bund, немецкому ведомству, которое помогает поставщикам узнавать о проблемах с безопасностью, выяснилось, что это была не ошибка, а запланированная характеристика, согласно записи в блоге. По сообщению SEC, Vibratissimo заявила, что ее клиентам был нужен полностью открытый доступ, особенно тем из них, кто посещал свингерские вечеринки.

Проблема была решена: исследователи сообщают, что производители предусмотрели более надежный способ подключения. Но поскольку обновление касается фабричных настроек, клиентам приходится посылать устройства в Amor Gummiwaren, чтобы устранить неполадки.

Еще один до сих пор не устраненный недостаток позволял кому угодно просмотреть фотографии, которые загружали пользователи Vibratissimo. Суть проблемы состояла в том, что изображения можно было легко найти, просто зная правильный URL. Поскольку идентификатор для каждой фотографии — всего лишь число, которое увеличивается на единицу для последующих файлов, посторонним нетрудно догадаться, что следует искать.

На момент публикации статьи Amor Gummiwaren не ответила на просьбу дать комментарии.

Впрочем, можно ожидать, что в ближайшие месяцы команда Грейля обнаружит новые уязвимые места секс-игрушек, подключенных к интернету. Работа над их исследовательским проектом Internet of Dildos продолжается.

Перевод Натальи Балабанцевой

Оригинал материала: "Форбс"


Источник:  scandaly.ru/2018/02/08/uyazvimyie-mesta/

 

Возврат к списку

 

 

Популярное сегодня

Пресса

Расследования, аналитика, скандалы

В небе каждый сам по себе

Росавиация констатировала низкую подготовку российских пилотов: экипажи надеются только на приборы, нарушают правила полётов, не согласовывают свои действия друг с другом Катастрофа Ан-148 в Подмосковье в феврале 2018 года показала серьёзные пробелы в подготовке экипажей.... Читать далее >>

Александр Табенкин попал под знак

Правоохранители задержали по подозрению в вымогательстве «отката» бывшего замначальника управления департамента транспорта Москвы, отвечавшего за подписание актов сдачи-приемки очистки городских улиц, а также установки на них дорожных знаков 9 мая сотрудники ФСБ задержали бывшего... Читать далее >>

«Серый» кардинал Кремля поменяет окраску

Помощник президента Владислав Сурков, отвечающий за Украину и Абхазию, может покинуть свой пост и уйти со Старой площади Источники РБК называют разные причины возможной отставки Суркова. Стратегия на украинском направлении в целом зашла... Читать далее >>

Национальные особенности «поджога банков»

Как Ильдар Клеблеев и Евгений Прокофьев «палили» ФГ «Техкапитал» «Поджигатели» банков, или «чёрные» банкиры, – так на криминально-финансовом жаргоне называют команды мошенников, которые воруют, то есть «сжигают» деньги клиентов банков.... Читать далее >>

«Домашние деньги» ушли в дефолт

В России невыгодным оказался даже ростовщический бизнес Микрофинансовая организация (МФК) «Домашние деньги» допустила технический дефолт, не выкупив предъявленные к оферте облигации на сумму более 800 млн руб.... Читать далее >>

А ввод вам арена

Как в Самаре принимают самый «недостроенный» стадион чемпионата мира по футболу «Самара Арена», официально признанная самым проблемным объектом инфраструктуры ЧМ 2018, должна получить разрешение на ввод в эксплуатацию.... Читать далее >>

"Не хотел... портить ей ["РГС жизни"] резюме"

Президент ПФК ЦСКА Евгений Гинер 2 года не раскрывал владение страховой компанией , Президент ПФК ЦСКА оказался владельцем 'Росгосстрах жизни'.... Читать далее >>

Константина Калниньша попался на растрате

Замглавы питерского Росимущества задержали по делу о незаконной продаже отправленного на хранение имущества на 224 млн руб.... Читать далее >>

«Это сын Дерипаски кричал «Долой коррупцию!»

Председатель Следственного комитета Александр Бастрыкин провел первую лекцию для студентов юрфака СПбГУ... Читать далее >>


Новости 1 - 9 из 9637

Статистика сайта

Информация

Постоянно в развитии!

+

Пользователей

+

Отзывов

+

Комментариев

+

Компаний
Вопросы и ответы

Зачем писать отзывы?

Отзывы - действенный механизм позволяющий разрешить многие спорные ситуации не доводя дело до судебного разбирательства. Частное лицо или компания о которой Вы оставляете отзыв в большинстве случаев предпочитают урегулировать проблему не откладывая вопрос на долгое время, ведь репутация в современном мире стоит очень дорого.

Нам необходимо перестать молчать и только тогда жизнь изменится в лучшую сторону!



Добавить отзыв

Рассылка

Подпишитесь на нашу рассылку и будьте в курсе самых актуальных событий