セキュリティ上の欠陥により、「スマート」貞操帯セックス玩具のユーザーが永久ロックインの危険にさらされる

テッククランチイベント

ペンテスト・パートナーズの研究者、アレックス・ロマス氏はブログ記事で、攻撃者は「全員をロックインまたはロックアウト」する能力を非常に迅速に備えていると述べた。「緊急時の無効化機能もないため、ロックインされてしまったら脱出する方法はない」と同氏は記している。

安全でない API により、ユーザーのアプリからプライベート メッセージや正確な位置情報にアクセスすることもできました。

TechCrunchがこの脆弱性を初めて知ったのは6月でした。研究者たちは、欠陥のあるAPIについて中国に拠点を置くQiuiに連絡を取りました。脆弱なAPIをオフラインにすると、デバイスを使用しているすべてのユーザーがロックアウトされる可能性がありました。開発者は新規ユーザー向けに新しいAPIを公開しましたが、既存ユーザー向けにはセキュリティ保護されていないAPIを残しました。

QiuiのCEO、ジェイク・グオ氏はTechCrunchに対し、修正プログラムは8月にリリースされる予定だと述べていたが、期限は過ぎてしまった。「私たちは地下室のチームです」とグオ氏は語った。ユーザーへのリスクを説明したフォローアップメールでは、「修正すれば、さらに問題が生まれます」とグオ氏は述べた。

結局、Qiui は脆弱な API を修正するために自らに課した 3 つの期限を守れなかったと Lomas 氏は語った。

ペンテスト・パートナーズが別の研究者から別のセキュリティ問題について聞いた後、公開を決断しました。その研究者もQiuiからの回答を得るのが困難でした。「このことが、公開するという私たちの決断をさらに強固なものにしました。明らかに、他の人々はこれらの問題を私たちとは無関係に発見する可能性が高いため、公益性の観点から問題であると認識しました」とロマス氏は記しています。

脆弱性のあるAPIが悪意を持って悪用されたかどうかは不明です。アプリのユーザーレビューには、デバイスがロックされたままになるバグがあるとの苦情がいくつかありました。

多くのスマートホームデバイスメーカーは、ユーザーのデータを政府に提供するかどうかをまだ明言していない。

「3日後にアプリが完全に動かなくなり、もう手が回らない！」とあるユーザーは言いました。別のユーザーは「アプリの信頼性が低いせいで、装着時に既に2回も動かなくなってしまった」と語っています。

「1ヶ月ほど使えましたが、ほとんどはめ込まれそうになりました。幸いにも、勝手にロックが解除されて脱出できました。この器具のせいでひどい傷が残り、回復に1ヶ月近くかかりました」と別のレビューには書かれていました。

Qiuiは、インターネットに接続しないデバイスには本来存在しないセキュリティ問題を抱えるセックストイの長いリストに加わりました。2016年には、Bluetooth接続の「パンティバスター」にバグがあり、誰でもインターネット経由でセックストイを遠隔操作できると研究者らが指摘しました。2017年には、スマートセックストイメーカーが、ユーザーの「非常に個人的で機密性の高いデータ」を収集・記録したとして訴えられ、和解しました。

安全なセックスを実践してください。スマートデバイスは使用しないでください。

関連記事:

• アダルトセクスティングサイトが数千人のモデルのパスポートと運転免許証を公開
• Plenty of Fishアプリがユーザーの隠された名前と郵便番号を漏洩していた
• 「カムガール」サイトのネットワークが何百万人ものユーザーとセックスワーカーを危険にさらした
• Tinderの新しい個人セキュリティ機能は、敵対的な国のLGBTQ+ユーザーを保護することができます
• 多くのスマートホームデバイスメーカーは、ユーザーのデータを政府に提供するかどうかをまだ明言していない。
• グループデートアプリ「3Fun」が150万人のユーザーの機密データを公開

バイオを見る