Платформа производителя интерактивных интимных устройств Lovense столкнулась с серьезными проблемами кибербезопасности, которые могут скомпрометировать персональные данные более 20 миллионов пользователей по всему миру. Независимые исследователи выявили критические уязвимости, позволяющие злоумышленникам получать доступ к email-адресам пользователей и полностью захватывать их учетные записи.
Детали обнаруженных уязвимостей в системе Lovense
Команда исследователей безопасности BobDaHacker, Eva и Rebane провела комплексный анализ приложения Lovense в марте 2024 года, обнаружив две критические уязвимости. Первая позволяла полностью захватывать чужие учетные записи, вторая — извлекать email-адреса пользователей, зная только их публичные имена пользователей.
Особую опасность представляет тот факт, что имена пользователей Lovense часто публикуются в открытом доступе, особенно среди вебкам-моделей, которые активно используют эти устройства в своей профессиональной деятельности. Это создает значительные риски для конфиденциальности пользователей деликатных устройств.
Техническая схема эксплуатации уязвимости email-адресов
Уязвимость связана с неправильной реализацией взаимодействия между чат-системой на базе XMPP и серверной частью платформы. Процесс эксплуатации включает несколько этапов:
Злоумышленник выполняет POST-запрос к API-эндпоинту /api/wear/genGtoken для получения токена аутентификации и ключей шифрования AES-CBC. Затем целевое имя пользователя шифруется полученными ключами и передается через эндпоинт /app/ajaxCheckEmailOrUserIdRegisted.
Сервер возвращает данные с поддельным email-адресом, который преобразуется в Jabber ID для XMPP-сервера Lovense. После добавления поддельного JID в список контактов и отправки запроса на подписку, система раскрывает настоящий JID, содержащий реальный email-адрес пользователя в формате [email protected].
Масштабы угрозы и возможности автоматизации атак
Исследователи подтвердили возможность полной автоматизации атаки — извлечение email-адреса одного пользователя занимает менее секунды при использовании специализированного скрипта. Важно отметить, что жертве не требуется принимать запрос на добавление в друзья от злоумышленника для успешной эксплуатации уязвимости.
Дополнительную опасность представляет расширение FanBerry от Lovense, которое может использоваться для массового сбора имен пользователей. Многие вебкам-модели используют идентичные username на различных платформах, что упрощает их идентификацию и последующие атаки.
Проблемы с реагированием компании на угрозы безопасности
Хотя исследователи уведомили Lovense об обеих проблемах 26 марта 2024 года, реакция компании вызывает серьезные вопросы. Изначально компания попыталась преуменьшить важность уязвимости полного захвата аккаунтов. Только после демонстрации возможности получения доступа к административным учетным записям уязвимость была классифицирована как критическая.
На июль 2024 года Lovense устранила только критическую уязвимость захвата аккаунтов, заявив, что исправление проблемы с email-адресами потребует около 14 месяцев из-за необходимости сохранения совместимости со старыми версиями приложения.
История повторяющихся проблем безопасности
Это не первый случай обнаружения серьезных уязвимостей в продуктах Lovense. В 2017 году было выявлено, что приложение записывало все аудио во время использования устройств, сохраняя файлы в локальной директории мобильного устройства. Компания назвала эту функциональность «мелким багом».
В 2021 году эксперты ESET обнаружили множественные проблемы безопасности, включая возможность подбора токенов подключения к устройствам Lovense методом брутфорса, что подтверждает системный характер проблем с кибербезопасностью у данного производителя.
Данный инцидент подчеркивает критическую важность обеспечения надежной защиты персональных данных пользователей интимных устройств. Компаниям, работающим в этой деликатной сфере, необходимо уделять особое внимание кибербезопасности и оперативно реагировать на выявленные уязвимости, поскольку компрометация таких данных может иметь серьезные последствия для репутации и личной жизни пользователей.
