日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

最近，研究人員已經(jīng)揭漏了潛伏在最新的智能成人玩具中的常見(jiàn)漏洞，攻擊者可以利用它們對(duì)使用者發(fā)起最“無(wú)恥”“下流”的攻擊。

創(chuàng)新互聯(lián)于2013年開(kāi)始，是專(zhuān)業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項(xiàng)目網(wǎng)站建設(shè)、成都做網(wǎng)站網(wǎng)站策劃，項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢(mèng)想脫穎而出為使命，1280元永福做網(wǎng)站,已為上家服務(wù),為永福各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話(huà):028-86922220

隨著越來(lái)越多的成人玩具品牌進(jìn)入市場(chǎng)，鑒于新冠疫情導(dǎo)致了成人玩具銷(xiāo)售的迅速增長(zhǎng)，研究人員認(rèn)為，圍繞這些設(shè)備的安全性進(jìn)行討論至關(guān)重要。

在研究人員提供的示例中，諸如藍(lán)牙之類(lèi)的技術(shù)和不充分安全的遠(yuǎn)程API使得這些物聯(lián)網(wǎng)個(gè)人設(shè)備不僅受到用戶(hù)隱私方面的攻擊，還容易受到其他攻擊。

增加的連接性意味著更大的攻擊面

最近，ESET安全研究人員Denise Giusto Bili?和Cecilia Pastorino揭示了智能性玩具中潛伏的一些漏洞，其中包括較新的型號(hào)。

研究人員強(qiáng)調(diào)的主要問(wèn)題是，智能成人玩具等新型可穿戴設(shè)備配備了許多功能，如在線(xiàn)會(huì)議、短信、互聯(lián)網(wǎng)接入和藍(lán)牙連接。

增加的連接性還為攻擊者接管和濫用這些設(shè)備打開(kāi)了大門(mén)，研究人員解釋說(shuō)，這些智能設(shè)備大多數(shù)都具有兩個(gè)連接通道。

大多數(shù)智能成人玩具都使用藍(lán)牙實(shí)現(xiàn)智能手機(jī)連接，而智能手機(jī)還可以連接到互聯(lián)網(wǎng)服務(wù)器

首先，智能手機(jī)用戶(hù)和設(shè)備本身之間的連接是通過(guò)低功耗藍(lán)牙(BLE)建立的，用戶(hù)可以運(yùn)行智能玩具的應(yīng)用程序。

其次，遠(yuǎn)程的性伴侶和控制該設(shè)備的應(yīng)用程序之間的通信是通過(guò)互聯(lián)網(wǎng)建立的。

為了彌合遠(yuǎn)方的情人和成人玩具用戶(hù)之間的鴻溝，像其他任何物聯(lián)網(wǎng)設(shè)備一樣，智能成人玩具也要使用帶有API終端的服務(wù)器來(lái)處理請(qǐng)求。

Bili?和Pastorino在一份報(bào)告中解釋說(shuō)：

“在某些情況下，這種云服務(wù)還充當(dāng)合作伙伴之間的中介，使用聊天、視頻會(huì)議和文件傳輸?shù)裙δ?，甚至將其設(shè)備的遠(yuǎn)程控制權(quán)提供給合作伙伴?！?/td>

但是，研究人員同時(shí)還指出，成人玩具處理的信息包含高度敏感的數(shù)據(jù)，例如姓名、性取向、性別、性伴侶的名單、私人照片和視頻等，如果泄漏這些信息可能會(huì)對(duì)用戶(hù)的行為造成不利影響隱私。

如果詐騙者在掌握了此類(lèi)私人信息后變得富有創(chuàng)造力，則后果簡(jiǎn)直不敢想象。

對(duì)受害者造成的具體傷害的分析

然而，更重要的是，研究人員表達(dá)了對(duì)這些物聯(lián)網(wǎng)設(shè)備被攻擊者破壞和武器化以進(jìn)行惡意行動(dòng)或?qū)τ脩?hù)造成身體傷害的擔(dān)憂(yōu)。例如，如果性玩具過(guò)熱，就會(huì)發(fā)生這種情況。

最后，如果有人能夠在未經(jīng)同意的情況下控制性設(shè)備，并向設(shè)備發(fā)送不同的命令，會(huì)有什么后果;對(duì)性設(shè)備的攻擊是性虐待嗎;它可能導(dǎo)致性侵犯嗎?

為了證明這些漏洞的嚴(yán)重性，研究人員在Lovense和We-Vibe Jive智能成人玩具上對(duì)Max進(jìn)行了概念驗(yàn)證，這兩種設(shè)備都使用了最不安全的“Just Works”藍(lán)牙配對(duì)方法。

藍(lán)牙掃描儀可用于窺探成人玩具設(shè)備

使用BtleJuice框架和兩個(gè)BLE加密狗，研究人員能夠演示中間人(MitM)攻擊者如何控制設(shè)備并捕獲數(shù)據(jù)包。

攻擊者可以在對(duì)這些數(shù)據(jù)包進(jìn)行篡改之后重新廣播這些數(shù)據(jù)包，以更改諸如振動(dòng)模式，強(qiáng)度之類(lèi)的設(shè)置，甚至注入其他命令。

同樣，用于將遠(yuǎn)程情人(性伴侶)連接到用戶(hù)的API終端也使用了令牌，該令牌并不是很難破解的。

Lovense應(yīng)用程序的遠(yuǎn)程控制功能選項(xiàng)列表包括生成格式為https://api2.lovense.com/c/的URL的選項(xiàng)，該URL是四個(gè)字母數(shù)字字符的組合。

API終端的這種體系結(jié)構(gòu)使用戶(hù)可以通過(guò)簡(jiǎn)單地將這些URL輸入Web瀏覽器來(lái)遠(yuǎn)程控制設(shè)備。

研究人員解釋說(shuō)：

“令人驚訝的是，對(duì)于如此短的令牌，其可能的組合相對(duì)較少(在下載量超過(guò)一百萬(wàn)的應(yīng)用中，可能有1679616個(gè)令牌)，服務(wù)器沒(méi)有針對(duì)暴力攻擊的保護(hù)措施?！?/td>

除了這些明顯的安全漏洞外，這些設(shè)備在獲取固件更新時(shí)還缺少任何端到端的加密或證書(shū)固定功能。

研究人員繼續(xù)說(shuō)：

“這是一個(gè)非常嚴(yán)重的漏洞，因?yàn)樗构粽呖梢匀菀椎貙?duì)希望通過(guò)活動(dòng)令牌進(jìn)行連接的設(shè)備進(jìn)行遠(yuǎn)程劫持，而無(wú)需用戶(hù)的同意或知道。”

ESET已于2020年6月19日通過(guò)電子郵件發(fā)送給設(shè)備制造商WOW Tech Group和Lovense，以報(bào)告這些漏洞。

8月3日發(fā)布的WOW Tech We-Connect版本4.4.1包含針對(duì)漏洞的修復(fù)程序。

該公司告訴ESET：

“鑒于我們產(chǎn)品的私密性，客戶(hù)數(shù)據(jù)的隱私和安全性對(duì)WOW Tech Group至關(guān)重要。我們非常重視外部來(lái)源對(duì)可能存在的漏洞的報(bào)告和調(diào)查結(jié)果。這就是為什么我們與ESET密切聯(lián)系他們的研究結(jié)果，并對(duì)他們的工作表示感謝。我們有機(jī)會(huì)在演示和發(fā)布此報(bào)告之前修補(bǔ)漏洞，此后更新了We-Connect應(yīng)用程序以解決此報(bào)告中描述的問(wèn)題。具體來(lái)說(shuō)，我們?cè)黾恿藀in輸入錯(cuò)誤時(shí)的超時(shí)，以減少自動(dòng)黑客攻擊的風(fēng)險(xiǎn)。我們已經(jīng)更新了應(yīng)用程序，在傳輸之前刪除多媒體元數(shù)據(jù)，并在每個(gè)聊天會(huì)話(huà)結(jié)束時(shí)刪除文件，這樣沒(méi)有元數(shù)據(jù)存儲(chǔ)或保存在應(yīng)用程序或我們的服務(wù)器上。這些改進(jìn)已經(jīng)通過(guò)ESET進(jìn)行了測(cè)試，確認(rèn)現(xiàn)在已經(jīng)修復(fù)了以前的安全漏洞。”

此外，研究人員報(bào)告的所有漏洞都被Lovense在谷歌Play Store上發(fā)布的更新應(yīng)用3.8.6中修復(fù)了。

Lovense告訴ESET。

“ Lovense首先把用戶(hù)的健康和安全放在首位，致力于改善其產(chǎn)品和軟件解決方案的網(wǎng)絡(luò)安全性。通過(guò)與ESET Research Lab的富有成效的合作，我們能夠檢測(cè)到一些已成功修復(fù)的漏洞。Lovense將繼續(xù)與網(wǎng)絡(luò)安全測(cè)試人員合作，以確保Lovense產(chǎn)品的所有用戶(hù)獲得最大的安全性。”

ESET已經(jīng)發(fā)布了一份包含詳細(xì)研究發(fā)現(xiàn)的白皮書(shū)。

可以說(shuō)，隨著智能成人玩具市場(chǎng)的增長(zhǎng)，由于這些設(shè)備明顯存在安全風(fēng)險(xiǎn)，在現(xiàn)實(shí)世界中被開(kāi)發(fā)的可能性也在增長(zhǎng)。

今年早些時(shí)候，BleepingComputer就報(bào)告了ChastityLock勒索軟件，除非支付了贖金，否則該勒索軟件會(huì)將受害者鎖定在他們的智能工具中。

雖然研究人員尚未找到保護(hù)智能成人玩具的具體解決方案，但建議用戶(hù)在使用之前優(yōu)先評(píng)估與成人玩具相關(guān)的隱私風(fēng)險(xiǎn)。至少，應(yīng)該考慮一下這些設(shè)備使用的服務(wù)可能會(huì)泄漏敏感信息(如果遭到破壞)，另外，用戶(hù)應(yīng)該自行決定在網(wǎng)上分享多少自己的信息。

本文翻譯自：

https://www.bleepingcomputer.com/news/security/smart-sex-toys-come-with-bluetooth-and-remote-hijacking-weaknesses/

標(biāo)題名稱(chēng)：智能成人玩具可不要隨便玩！已發(fā)現(xiàn)它們帶有藍(lán)牙和遠(yuǎn)程劫持功能
分享網(wǎng)址：http://www.dlmjj.cn/article/djospoc.html