Открыть главное меню

Вибраторы шпионят за пользователями и докладывают производителю

11 августа 2016

«Интернет вещей» вызывает большие опасения у экспертов по безопасности. Как оказалось, хакерским атакам подвержены не только подключенные к Сети холодильники и лампочки, но и секс-игрушки, которые могут использоваться для слежения за пользователями. Атака на вибраторы, продемонстрированная в рамках конференции DEF CON двумя австралийскими исследователями Goldfisk и Follower, является ярким тому подтверждением.

В качестве объекта для атаки эксперты выбрали интимное устройство U-формы We-Vibe 4 Plus, управляемое по Bluetooth с помощью пульта ДУ или мобильного приложения. Поскольку в продукте использованы беспроводные технологии, производитель обязан предоставлять данные о нем Федеральной комиссии по связи США (англ. Federal Communications Commission), что и подсказало исследователям, как можно взломать устройство.

В вибраторах We-Vibe 4 Plus используется процессор CC2541 производства компании Texas Instruments с устаревшим Bluetooth-чипом с частотой 2,4 ГГц. Благодаря отсутствию проверки соответствия между сертификатами на устройстве и на удаленном сервере (технология certificate pinning) исследователям удалось с легкостью взломать устройство и выяснить, какую информацию оно собирает и передает на мобильное приложение.

По словам Follower, в ходе исследования эксперты столкнулись с проблемой при получении сигнала. «Оказывается, тело человека является поразительно эффективной клеткой Фарадея», — отметил исследователь.

С помощью десктопного компьютера исследователи расшифровали передаваемые по Bluetooth командные строки и смогли получить контроль над устройством. Проделанная работа не заняла много времени — длина командной строки составляла всего 8 байтов, а первый байт отвечал за переключение режимов устройства.

В ходе исследования Goldfisk и Follower выяснили, какие именно данные собирает We-Vibe 4 Plus. Вибратор фиксирует, как часто он используется, какие из десяти возможных режимов выбирает пользователь и даже температуру устройства. Все данные хранятся на корпоративном сервере, и согласно условиям пользования могут предоставляться по требованию правительства.


 

ИсточникиПравить

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.