导读 在连接互联网的智能贞操设备中发现的安全漏洞可能使黑客将用户锁定在该设备中。该漏洞由Pen Test PartnersLLP的安全研究人员今天发现并发
在连接互联网的智能贞操设备中发现的安全漏洞可能使黑客将用户锁定在该设备中。
该漏洞由Pen Test PartnersLLP的安全研究人员今天发现并发布,该漏洞在由佛山市QIUI Technology Development Co.Ltd制造的Cellmate Chastity Cage中发现。该设备通过蓝牙连接到智能手机应用程序,从而使佩戴者或佩戴者的伴侣锁定或解锁进入贞操笼的通道。
这些漏洞与应用程序的应用程序编程接口有关。API中存在不安全的直接对象引用漏洞,使应用无需用户进行身份验证即可打开应用程序的大门。
访问应用程序用户以及设备的权限仅需要扩展的成员代码,该代码“具有一定的确定性”,并且基于用户注册服务的日期。但是,研究人员发现了一种更简单的方法,即可以通过简短的“朋友代码”获得访问权限。
在使用好友代码进行的测试中,他们能够获取敏感信息,例如用户名,电话号码,生日,打开应用程序的确切坐标,更长的“ memberCode”值和用户的纯文本密码,这些信息不会持续需要访问。
研究人员指出:“攻击者只需几天就可以渗入整个用户数据库,并将其用于勒索或网络钓鱼。”
在练习中,研究人员随机抽取了一组数据,并能够匹配全球用户的位置,这引起了人们的关注,因为许多国家“具有压制性法律,可能会使这类设备的用户暴露于来自用户的不必要的利益执法。”
获得对成员数据的访问权限是一回事,但故事发生了变化,那就是相同的API访问漏洞也使潜在的黑客能够覆盖对用户设备的权限,从而切断了对锁定机制的访问。
研究人员写道:“任何人都可以远程锁定所有设备,并防止用户释放自己。如果发生这种情况,则“拆卸时需要角磨机或类似设备,并在脆弱且敏感的区域附近使用。”
笔测试合作伙伴试图与公司联系以解决漏洞,但收效甚微。