Чтобы минимизировать риски при использовании интеллектуальных интимных устройств, эксперты ESET рекомендуют следовать нескольким советам.
В рамках исследования специалисты ESET проанализировали две популярные секс-игрушки на рынке / фото ua. depositphotos.com
Компания ESET-лидер в области информационной безопасности-сообщает об обнаружении уязвимостей в двух популярных интимных игрушках. В частности, были выявлены недостатки безопасности в приложениях, которые управляют устройствами.
Уязвимости позволяют установить вредоносный код на телефон, изменить встроенное программное обеспечение в игрушку или даже намеренно модифицировать устройство, чтобы причинить физический вред пользователю.
В рамках исследования специалисты ESET проанализировали две популярные на рынке игрушки — Jive производства We-Vibe и Max Supplier Lovense. Для этого исследователи скачали из магазина Google Play программы для управления устройствами (We-Connect и Lovense Remote) и использовали методы прямого анализа и поиска уязвимостей.
Мы-Вибе
We-Vibe Jive-это портативное устройство, поэтому его можно использовать в незащищенных средах. В ходе анализа выяснилось, что игрушка постоянно сообщает о своем присутствии, чтобы упростить соединение. Это означает, что любой, у кого есть Bluetooth-сканер, может найти устройство в его радиусе на расстоянии до восьми метров. Таким образом, потенциальные злоумышленники могли идентифицировать устройство и использовать силу сигнала. Чтобы получить контроль, вам даже не нужно официальное приложение производителя, так как большинство браузеров имеют соответствующие функции для упрощения управления.
Игрушка Jive использует наименее безопасный метод подключения BLE, поэтому временный код ключа, используемый устройствами, равен нулю. Таким образом, любое устройство может подключиться к ним, используя ноль в качестве ключа. Игрушка уязвима для атак MitM, так как несвязанный Джайв может автоматически подключаться к любому мобильному телефону, планшету или компьютеру, который этого требует, без проверки и аутентификации.
Хотя медиафайлы, которыми пользователи обмениваются во время сеансов чата, хранятся в личных папках хранения программы, метаданные этих файлов остаются общедоступными. Это означает, что каждый раз, когда пользователи отправляют фотографию на другой телефон, они также могут делиться информацией о своих устройствах и их точном геолокационном местоположении.
Ловенсе
Поскольку Max производства Lovense синхронизируется со своим удаленным аналогом, злоумышленник может взять под контроль оба устройства после заражения только одного из них. Однако медиафайлы, полученные с удаленного устройства, не содержат метаданных. Приложение также предлагает возможность настроить четырехзначный код разблокировки с помощью сетки кнопок, что делает атаки с угадыванием пароля более трудными.
Некоторые функции программы могут представлять угрозу конфиденциальности пользовательских данных, например, возможность отправки изображений третьим лицам без согласия владельца, а удаленные или заблокированные пользователи имеют доступ к истории чата и всем ранее совместно используемым мультимедийным файлам. Макс также не использует аутентификацию для BLE-соединений, поэтому с помощью MitM-атаки злоумышленники могут перехватить соединение и отправить команды для управления устройством.
Обоим разработчикам был отправлен подробный отчет об уязвимостях и предложение их исправить, и на момент публикации все недочеты были исправлены.
"Хотя безопасность, вероятно, не является приоритетом для многих производителей интимных игрушек в настоящее время, владельцы таких устройств могут применять дополнительные меры для защиты себя, например, избегать использования устройств в общественных местах. Пользователи должны оставлять умную игрушку подключенной к своему мобильному приложению при его использовании, так как это помешает устройству сообщить о своем присутствии потенциальным киберпреступникам, отмечают исследователи ESET. — С развитием рынка интимных игрушек производители должны уделять больше внимания вопросам кибербезопасности, так как каждый имеет право использовать безопасные и надежные технологии."
Чтобы минимизировать риски при использовании интеллектуальных интимных устройств, эксперты ESET рекомендуют следовать следующим советам:
- Некоторые программы предлагают возможность управлять устройствами локально через BLE без создания учетной записи пользователя. Если вы не планируете разрешать другим пользователям удаленно управлять игрушкой через Интернет, выберите одно из этих приложений.
- Избегайте обмена фотографиями или видео и не размещайте токены дистанционного управления в Интернете.
- При регистрации в таких приложениях не используйте свои настоящие имя и фамилию или адрес электронной почты, которые могут идентифицировать вас. Подумайте о создании новой учетной записи исключительно для этих программ.
- Всегда просматривайте условия использования программ и веб-сайтов, на которых вы регистрируетесь. Обратите особое внимание на разделы, описывающие собранные данные и их обработку.
- Выключайте игрушку и Bluetooth, когда они не используются.
- Защитите мобильные устройства, которые вы используете для управления своей игрушкой, загрузив надежное решение безопасности.
- Защитите свою домашнюю сеть Wi-Fi, используя надежные пароли, безопасные алгоритмы шифрования и применяя регулярные обновления встроенного ПО маршрутизатора.
Помогите. ESET-эксперт в области защиты от киберпреступности и компьютерных угроз, международный разработчик антивирусного программного обеспечения и ведущий поставщик в области создания технологий обнаружения угроз. Основанная в 1992 году, компания ESET сегодня имеет расширенную партнерскую сеть и представительства более чем в 180 странах мира. Головной офис компании находится в Братиславе, Словакия.
Вот уже более 15 лет продукция ESET официально представлена в Украине. С 2005 года пользователи могут бесплатно обращаться в техническую поддержку ESET в Украине, а также проходить обучающие курсы по продуктам ESET. Пользователями ESET являются крупнейшие украинские и международные компании и организации.
Автор: УНИАН