Исследователи в сфере кибербезопасности из британской компании Pen Test Partners обнаружили серьезную уязвимость в устройстве Qiui Cellmate, которое представляет собой управляемый со смартфона пояс верности для мужчин.
Гаджет Cellmate закрепляется на пенисе при помощи специального замка, который фиксируется прочным металлическим кольцом. Для управления замком используется специальное мобильное приложение, в котором исследователи и нашли уязвимость.
RansomWEAR, a new IoT threat model? Our @alexlomas has been busy with his cell mate and discovered an eye watering vulnerability. A smart male chastity lock cock-up - https://t.co/PyMmMMDrpP#LockedIn #IoTSecurity #AngleGrinder pic.twitter.com/hr4brvApzD
— Pen Test Partners (@PenTestPartners) October 6, 2020
В Pen Test Partners выяснили, что API-интерфейс приложения, позволяющий передать управление гаджетом своему партнеру, не использует пароль и шифрование для обмена данными с гаджетом. Из-за этого перехватить управление поясом верности и заблокировать замок может любой желающий, а отсутствие механизма экстренной разблокировки замка на самом устройстве грозит неприятными последствиями в случае такого перехвата контроля над приложением. По словам исследователей, для принудительного вскрытия замка может потребоваться болторез или угловая шлифовальная машина, пишет TJ.
Отсутствие шифрования также распространяется на приватную переписку и данные о местоположении пользователей в приложении Cellmate - получить доступ к этим сведениям может любой желающий. В качестве доказательства в Pen Test Partners собрали данные о геолокации десятков тысяч пользователей при регистрации в приложении и нанесли их на карту, пишет издание "Код Дурова".
Как пишет TechCrunch, ранее владельцы Cellmate жаловались на гаджет. Так, среди отзывов встречаются сообщения о блокировках из-за сбоев в работе управляющего приложения. Один из пользователей из-за такой блокировки уже жаловались на проблемы с устройством. В отзывах о Cellmate можно найти упоминания случайных блокировок из-за проблем с приложением, некоторым удавалось выбраться случайно, а один из пользователей получил шрам, который заживал в течение месяца.
В Pen Test Partners сообщили о найденных уязвимостях в компанию Qiui еще в апреле 2020 года, но производитель неохотно шел на контакт и устранил уязвимости гаджета лишь частично. За несколько месяцев другие исследователи также нашли уязвимости в приложении для Cellmate, поэтому в компании решили опубликовать данные о проблемах с устройством.