Провідна компанія з виробництва інтерактивних інтимних пристроїв Lovense зіткнулася з серйозними загрозами кібербезпеки, які можуть поставити під загрозу конфіденційність понад 20 мільйонів користувачів по всьому світу. Незалежні дослідники безпеки виявили критичні вразливості в платформі, що дозволяють зловмисникам отримувати доступ до особистої інформації та повністю контролювати чужі облікові записи.
Аналіз виявлених вразливостей системи безпеки
У березні 2024 року команда дослідників кібербезпеки BobDaHacker, Eva та Rebane провела детальний аудит безпеки мобільного додатку Lovense. Результати виявили дві критичні вразливості, які створюють значні ризики для приватності користувачів. Перша дозволяє повне захоплення облікових записів, друга – витягування email-адрес користувачів через їхні публічні імена.
Особливу стурбованість викликає той факт, що багато користувачів, зокрема вебкам-моделі, публічно розкривають свої імена користувачів у професійній діяльності. Це робить їх особливо вразливими до цільових атак та порушення конфіденційності.
Технічні деталі експлуатації вразливості
Основна вразливість пов’язана з неправильною реалізацією взаємодії між чат-системою на основі протоколу XMPP та серверною інфраструктурою. Процес атаки включає кілька технічних етапів, які можуть бути повністю автоматизовані.
Зловмисник ініціює POST-запит до API-ендпоінту /api/wear/genGtoken для отримання токена автентифікації та ключів шифрування AES-CBC. Потім ім’я цільового користувача шифрується отриманими ключами та передається через ендпоінт /app/ajaxCheckEmailOrUserIdRegisted.
Система повертає дані з підробленою email-адресою, яка конвертується в Jabber ID для XMPP-сервера Lovense. Після додавання фальшивого JID до списку контактів та відправлення запиту на підписку, система розкриває справжній JID, що містить реальну email-адресу користувача у форматі [email protected].
Масштаби загрози та автоматизація атак
Дослідження показало, що атака може бути повністю автоматизована – витягування email-адреси одного користувача займає менше секунди при використанні спеціалізованого скрипта. Критично важливо, що жертва не повинна приймати запит на додавання у друзі для успішної експлуатації вразливості.
Додаткову небезпеку представляє розширення FanBerry від Lovense, яке може використовуватися для масового збору імен користувачів. Багато вебкам-моделей використовують ідентичні username на різних платформах, що спрощує їх ідентифікацію та подальші атаки.
Реакція компанії на виявлені загрози
Незважаючи на те, що дослідники повідомили Lovense про обидві проблеми 26 березня 2024 року, реакція компанії викликає питання щодо пріоритетів безпеки. Спочатку компанія намагалася применшити важливість вразливості повного захоплення акаунтів. Тільки після демонстрації можливості отримання доступу до адміністративних облікових записів вразливість була класифікована як критична.
Станом на липень 2024 року Lovense усунула лише критичну вразливість захоплення акаунтів, заявивши, що виправлення проблеми з email-адресами потребуватиме близько 14 місяців через необхідність збереження сумісності зі старими версіями додатку.
Історія повторюваних проблем безпеки
Це не перший випадок виявлення серйозних вразливостей у продуктах Lovense. У 2017 році було з’ясовано, що додаток записував усе аудіо під час використання пристроїв, зберігаючи файли в локальній директорії мобільного пристрою. Компанія назвала цю функціональність “незначним багом”.
У 2021 році експерти ESET виявили множинні проблеми безпеки, включаючи можливість підбору токенів підключення до пристроїв Lovense методом брутфорсу, що підтверджує системний характер проблем з кібербезпекою у цього виробника.
Цей інцидент підкреслює критичну важливість забезпечення надійного захисту персональних даних користувачів інтимних пристроїв. Компаніям, що працюють у цій делікатній сфері, необхідно приділяти особливу увагу кібербезпеці та оперативно реагувати на виявлені вразливості. Користувачам рекомендується регулярно оновлювати додатки, використовувати унікальні паролі та обмежувати кількість персональної інформації, що розкривається публічно.
