В «умном» поясе верности для мужчин нашли уязвимость, которая позволяет навсегда заблокировать пенис пользователя
До тех пор, пока кто-то не применит физическую силу извне — производитель не предусмотрел механизм экстренного отключения.
Британская фирма Pen Test Partners обнаружила уязвимость в Qiui Cellmate — поясе верности для мужчин, которая позволяет удалённо заблокировать пенисы пользователей. Из-за отсутствия механизма экстренного отключения, владельцы могут столкнуться с постоянной блокировкой, пока не обратятся за помощью извне.
Как выяснили исследователи, уязвимость находилась в API-интерфейсе, который позволял приложению на смартфоне взаимодействовать с устройством. По задумке авторов, таким образом пользователи могли передать управление устройством своему партнёру, чтобы он удалённо блокировал или разблокировал пояс верности.
Однако устройство обменивалось данными со смартфоном без пароля и шифрования, поэтому перехватить управление мог любой желающий — для этого даже не нужно было ничего взламывать.
Замок на поясе верности фиксируется металлическим кольцом под пенисом пользователя. Исследователи считают, что для его вскрытия может потребоваться применение сверхмощного болторезного станка или угловой шлифовальной машины.
Здесь нет механизма экстренного отключения, поэтому если вы заблокированы — выхода нет.
Помимо прочего, незащищённый API позволял получить доступ к приватной переписке и геолокации пользователей в приложении Cellmate. Любой желающий также мог получить доступ ко всей пользовательской базе устройства, потратив не больше пары дней.
В качестве примера исследователи собрали данные о геолокации пользователей во время регистрации приложений. По их оценкам, жертвами атак могут стать «десятки тысяч пользователей».
Как отметили в TechCrunch, пользователи уже жаловались на проблемы с устройством. В отзывах о Cellmate можно найти упоминания случайных блокировок из-за проблем с приложением, некоторым удавалось выбраться случайно, а один из пользователей получил шрам, который заживал ещё месяц.
Qiui — не первая компания за последние годы, попавшая в скандал из-за проблем с безопасностью. В 2016 году исследователи обнаружили баг в вибраторе с подключением Bluetooth, который позволял удалённо активировать устройство через интернет. В 2017 году один из производителей секс-игрушек согласился выплатить компенсацию за сбор данных пользователей.
#новости #уязвимости