Как говорится, среда — это маленькая пятница. Британские специалисты по безопасности из Pen Test Partners обнаружили уязвимость в электронном «поясе верности» для мужчин Cell Mate производства китайской компании Qiui. Уязвимость достаточно серьезная, поскольку ставит под угрозу не какие-то там файлы в памяти компьютера, а «фамильные драгоценности».
В свое время Qiui с гордостью называла этот необычный аксессуар первым в мире «поясом верности», управляемым с помощью приложения на смартфоне. После размещения на гениталиях устройство блокируется и разблокируется только удаленно через Bluetooth с помощью фирменного мобильного приложения.
Приложение взаимодействует с замком через API. Но этот API разработчики оставили открытым, не защитив паролем, тем самым позволив любому желающему получить полный контроль над устройством любого пользователя. Незащищенный API также открывает доступ к личным сообщениям и данным о местоположении пользователей из приложения.
Как отметил исследователь Pen Test Partners Алекс Ломас, используя эту уязвимость, злоумышленник может очень быстро заблокировать «все внутри или вне». Никакого физического ключа или переключателя для аварийной разблокировки не предусмотрено.
Само устройство спроектировано таким образом, что фиксируется специальным металлическим кольцом, плотно обхватывающим мошонку. И вариантов освободиться здесь немного — либо применить тяжелую технику вроде болтореза или болгарки, либо попробовать подать электрический ток на управляющую плату, чтобы вызвать перегрузку.
Если просто отключить API, то все пользователи, которые в этот момент пользовались устройством, окажутся в ловушке.
Издание TechCrunch пишет, что впервые узнало о существовании уязвимости еще в июне. Тогда же исследователи сообщили о проблеме разработчиками, а те в свою очередь выпустили новый API, но только для новых пользователей. В то же время существующие пользователи остались под угрозой.
Глава Qiui в разговоре с TechCrunch обещал исправление в августе, но так и не сдержал слово. В последующей переписке он оправдывался, что они «подвальная команда» и якобы исправление «создает еще больше проблем». В конечном итоге Qiui трижды сорвала сроки и фирма Pen Test Partners решила придать истории публичную огласку после того, как узнала о еще одной проблеме безопасности от другого исследователя, которому тоже не удалось нормально договориться с Qiui.
Неизвестно, использовал ли кто-либо злонамеренно уязвимый API. В то же время в сети есть несколько жалоб на ошибки в приложении, приводящие к трудностям со снятием блокировки.
Эксперты предупреждают, что среди интимных аксессуаров проблемы с безопасностью — не редкость, и призывают максимально осторожно подходить к покупке подобного рода гаджетов.
Источник: TechCrunch и Pen Test Partners LLP