E安全2月5日讯 德国情趣用品公司 Amor Gummiwaren 公司的 Vibratissimo 产品存在多个严重漏洞，允许任何人通过互联网控制震动棒，并致用户数据泄露，攻击者甚至能够获取用户的真实姓名和家庭住址。

Amor Gummiwaren 官网发布的信息显示，“用户可下载Vibratissimo应用程序通过智能手机控制 AMOR 情趣用品，并获取更多功能。无论共处一室或天各一方，Vibratissimo 都会为敞开新鲜刺激的机会之门。”

这份报告指出，这款应用程序具有“快速控制”功能，其允许用户通过短信和电子邮箱向“搭档”发送带有唯一 ID 的链接，以此通过互联网直接控制震动棒。如果包含唯一 ID 的链接是随机生成的，并且足够长，就不会有这个安全问题。此外，如果接受方必须在被控制之前确认远程控制，这将会保证一定的安全性。但问题是，这款应用程序却不具备这些安全保护举措。攻击者可轻易猜出 ID，直接通过互联网控制震动棒。

情趣用品安全漏洞或给用户带来大麻烦

不止如此，其中一个漏洞允许未经身份验证的蓝牙连接，可被附近的攻击者利用劫持设备。研究人员还发现，这家公司用来存储客户数据的后端云服务暴露在互联网上，任何人可通过简单易猜的网址发现此类数据。该数据库存储着客户创建的用户名、明文密码、聊天记录和相册，攻击者无需密码就能转储并下载。更恐怖的是，攻击者还可获取用户的真实姓名和家庭住址。

目前尚不清楚该数据库有多少用户。研究人员称用户数量多达6位数。从 Google Play 应用商店可以看出，这款 Android 移动应用程序的用户量介于5万-10万之间。

SEC Consult 2017年11月报告了这些漏洞，但当时并未全部得到修复。这家公司对该数据库采取了安全保护措施。虽然这款应用程序已被修复，但震动棒必须返厂更新，因为不具备远程更新功能。

联网情趣用品与其它IoT设备的情况一样，许多此类设备制造商将功能置于安全之上，从而使用户面临攻击和数据泄露风险。这就引发出各种伦理问题：如果震动棒被黑，是否属于性犯罪？这个问题还有待回答。但有人可能会问，为何会将震动棒联网视为一个好点子？

鉴于此类设备的敏感性和私密性，研究人员仍在继续努力发现情趣用品中的漏洞，以对其进行修复。安全研究人员RenderMan启动了一个“Internet of Dongs”项目，以提高人们对情趣用品安全问题的认识。

其他可能泄露用户信息的情趣用品

2017年3月，加拿大成人情趣用品制造商Standard Innovations的“We-Vibe”配套的 APP 能够反馈用户在使用时的各种数据，确实很新颖，值得围观。但让消费者万万没想到的是不仅自己能够看见这些数据，厂商的工作人员们也可以看到……“We-Vibe”后来因收集用户隐私信息被法院判决向消费者赔偿共计375万美元。

20107年4月，售价近250美元Svakom（司沃康）Siime Eye能轻易被黑客入侵。这款设备本身已经带有视频流功能，网络连接一旦不安全，甚至带来麻烦。如果有人在设备Wi-Fi范围内，他们就可以猜到密码。如果产品的WiFi默认密码（88888888）未被修改，黑客几乎不需要动手就可以立即加入并观看视频。当某人使用这款 Siime Eye，黑客就能在用户不知情的情况下观看视频流，甚至能现场直播。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/619265129.shtml

▼点击“阅读原文” 查看更多精彩内容