10.30.09 Вразливість в «поясі вірності» для чоловіків Qiui дозволяє хакерам віддалено заблокувати пристрій | |
 Британські фахівці з безпеки з Pen Test Partners виявили вразливість в електронному «поясі вірності» для чоловіків Cell Mate виробництва китайської компанії Qiui. Вразливість досить серйозна, оскільки ставить під загрозу не якісь там файли в пам'яті комп'ютера, а «фамільні коштовності».
 Свого часу Qiui з гордістю називала цей незвичайний аксесуар першим в світі «поясом вірності», керованим за допомогою додатка на смартфоні. Після розміщення на геніталіях пристрій блокується і розблокується тільки віддалено через Bluetooth за допомогою фірмового мобільного додатка.  Додаток взаємодіє з замком через API. Але цей API розробники залишили відкритим, не захистивши паролем, тим самим дозволивши всім охочим отримати повний контроль над пристроєм будь-якого користувача. Незахищений API також відкриває доступ до особистих повідомлень і даних про місцезнаходження користувачів з програми.  Як зазначив дослідник Pen Test Partners Алекс Ломас, використовуючи цю вразливість, зловмисник може дуже швидко заблокувати «все всередині або поза». Ніякого фізичного ключа або перемикача для аварійного розблокування не передбачено. Сам пристрій спроектовано таким чином, що фіксується спеціальним металевим кільцем, щільно охоплює мошонку. І варіантів звільнитися тут небагато - або застосувати важку техніку на кшталт різака або болгарки, або спробувати подати електричний струм на керуючу плату, щоб викликати перевантаження. Якщо просто відключити API, то всі користувачі, які в цей момент користувалися пристроєм, виявляться в пастці. Видання TechCrunch пише, що вперше дізналося про існування уразливості ще в червні. Тоді ж дослідники повідомили про проблему розробниками, а ті в свою чергу випустили новий API, але тільки для нових користувачів. У той же час існуючі користувачі залишилися під загрозою. Глава Qiui в розмові з TechCrunch обіцяв виправлення в серпні, але так і не дотримав слова. У подальшій кореспонденції він виправдовувався, що вони «підвальна команда» і нібито виправлення «створює ще більше проблем». В кінцевому підсумку Qiui тричі зірвала терміни і фірма Pen Test Partners вирішила надати історії публічний розголос після того, як дізналася про ще одну проблему безпеки від іншого дослідника, якому теж не вдалося нормально домовитися з Qiui. Невідомо, чи використовував хто-небудь зловмисно вразливий API. У той же час в мережі є кілька скарг на помилки в додатку, що призводять до труднощів зі зняттям блокування. Експерти попереджають, що серед інтимних аксесуарів проблеми з безпекою - не рідкість, і закликають максимально обережно підходити до покупки подібного роду гаджетів. Джерело: TechCrunch i Pen Test Partners LLP | |
|
| |
| Всього коментарів: 0 | |