Prijungta sekso žaislų platforma „Lovense“ yra pažeidžiama nuo nulinės dienos trūkumo, leidžiančio užpuolikui gauti prieigą prie nario el. Pašto adreso, tiesiog žinant jų vartotojo vardą, keliant pavojų doxxing ir priekabiavimui.
„Lovense“ yra interaktyvus sekso žaislų gamintojas, geriausiai žinomas dėl programų kontroliuojamų sekso žaislų, tokių kaip „Lush“, „Gush“ ir, ko gero, drąsiausiai, „Kraken“. Bendrovė teigia, kad visame pasaulyje turi 20 milijonų klientų.
Nors „Lovense“ žaislai dažniausiai naudojami tiek vietinėms, tiek tolimoms pramogoms, jie taip pat yra populiarūs tarp CAM modelių, leidžiančių žiūrovams kreiptis ar užsiprenumeruoti nuotolinį savo žaislų valdymą.
Tačiau prijungta patirtis taip pat gali atskleisti savo „Lovense“ vartotojo vardą, o dėl šios trūkumo potencialiai gali paaiškėti jų asmeninis el. Pašto adresas.
„Lovense“ vartotojo vardai dažnai viešai dalijami forumuose ir socialinėje žiniasklaidoje, todėl jie yra lengvi užpuolikų tikslai.
Trūkumą atrado saugumo tyrinėtojas Bobdahackeris, bendradarbiavęs su tyrėjais Eva ir Rebane, kad panaikintų programą ir automatizuotų ataką.
Tyrėjai atskleidė du trūkumus daugiau nei prieš keturis mėnesius, 2025 m. Kovo 26 d. Tačiau vėliau buvo nustatyta tik vienas iš trūkumų, kritinės sąskaitos užgrobimo trūkumas.
Lovense trūkumai
Pažeidžiamumas kyla iš „Lovense“ XMPP pokalbių sistemos sąveikos, naudojamos ryšiui tarp vartotojų ir platformos pagrindinės.
„Taigi viskas prasidėjo, kai aš naudojau„ Lovense “programą ir ką nors nutildžiau. Tai viskas. Tiesiog nutildė juos”, – aiškina Bobdahackerio ataskaita.
„Bet tada aš pamačiau API atsakymą ir buvau panašus į … palaukite, ar tai el. Pašto adresas? Kodėl tai yra? Po gilinimo giliau supratau, kaip bet kurį vartotojo vardą paversti jų el. Pašto adresu.”
Norėdami išnaudoti trūkumą, užpuolikas pateikia prašymą paštu /api/wear/genGtoken API baigtis su jų kredencialais, kurie grąžina GTOKEN (autentifikavimo prieigos raktą) ir AES-CBC šifravimo klavišus.
Tada užpuolikas paima bet kokį viešai žinomą „Lovense“ vartotojo vardą ir užšifruoja jį naudodamas gautus šifravimo klavišus. Šis užšifruotas naudingas krovinys siunčiamas į /app/ajaxCheckEmailOrUserIdRegisted?email={encrypted_username} API baigtis.
Serveris reaguoja duomenimis, kuriuose yra netikras el. Pašto adresas, kurį tyrėjas pavertė netikru „Jabber“ ID (JID), kurį naudoja „Lovense“ XMPP serveris.
Pridėjęs šį netikrą JID į savo XMPP kontaktų sąrašą ir siųsdami buvimo prenumeratą per XMPP (panašiai kaip draugo užklausa), užpuolikas gali atnaujinti sąrašą (kontaktų sąrašą), kuriame dabar yra ir netikras JID, ir tikrasis su taikinio sąskaita.
Tačiau problema yra ta, kad tikrasis JID yra sukurtas naudojant tikrąjį vartotojo el. Paštą, formato vartotojo vardu!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Pvz., Jei jis grąžino „Bleeping!!!example.com_w@im.lovense.com, gautas tikrasis„ Lovense “paskyros el. Paštas yra bleeping@example.com.
Tyrėjai patvirtino, kad visas procesas gali būti baigtas mažiau nei vienai sekundei kiekvienam vartotojui su scenarijumi. „Bleepingcomputer“ šiandien sukūrė netikrą paskyrą ir pasidalino mūsų vartotojo vardu su „Bobdahacker“, leisdamas jiems tiesiog prisijungti kaip draugą ir grąžinti el. Laišką, su kuriuo užregistravome.
Tyrėjas taip pat pareiškė, kad nereikia priimti draugo prašymo išnaudoti trūkumą.
„Bleepingcomputer“ taip pat patvirtino, kad forumuose ir su „Lovense“ susijusiose svetainėse, tokiose kaip „Lovenselife.com“, yra gana lengva rasti teisėtus vartotojo vardus.
Tyrėjas taip pat teigia, kad „Lovense“ sukurtas „Fanberry Extension“ gali būti naudojamas norint surinkti vartotojo vardus, nes daugelis CAM modelių naudoja tą patį vartotojo vardą, todėl plataus masto el. Pašto rinkimas įmanomas.
Tyrėjai taip pat atrado kritinį pažeidžiamumą, kuris leido jiems visiškai užgrobti sąskaitą.
Naudodamas tik el. Pašto adresą, užpuolikas galėtų generuoti autentifikavimo žetonus, nereikia slaptažodžio. Naudodamas šiuos žetonus, užpuolikas galėtų apsimesti vartotoju „Lovense“ platformose, įskaitant „Lovense Connect“, „StreamMaster“ ir „CAM101“.
Pranešama, kad šie žetonai taip pat dirbo administratoriaus sąskaitose.
Nors „Lovense“ sušvelnino šį trūkumą atmesdamas savo API žetonus, tyrėjai pažymėjo, kad „Gtokens“ vis tiek gali būti generuojami be slaptažodžio.
Apie abu klausimus „Lovense“ buvo pranešta 2025 m. Kovo 26 d. Balandžio mėn., Pateikus „Hackerone“ klaidas, „Lovense“ tyrėjams informavo, kad el. Pašto leidimas jau buvo žinomas ir ištaisytas būsimoje versijoje.
Iš pradžių įmonė sumenkino paskyros užgrobimo trūkumą, tačiau po to, kai jai buvo pasakyta, ji gali leisti prieigą prie administratoriaus paskyros, „Lovense“ perklasifikavo ją kaip kritišką.
Iš viso tyrėjai gavo 3000 USD už trūkumų atskleidimą.
Birželio 4 d. Bendrovė teigė, kad trūkumai buvo nustatyti, tačiau tyrėjai patvirtino, kad taip nebuvo. „Lovense“ galiausiai liepos mėn. Ištaisė sąskaitos pagrobimo trūkumą, tačiau pareiškė, kad el. Pašto trūkumui išspręsti prireiks maždaug 14 mėnesių, nes tai sulaužys suderinamumą su senesnėmis jų programos versijomis.
„Mes paskelbėme ilgalaikį ištaisymo planą, kuris užtruks maždaug dešimt mėnesių, o dar bent keturiems mėnesiams reikia visiškai įgyvendinti išsamų sprendimą“,-tyrėjui pasakojo Lovense.
„Mes taip pat įvertinome greitesnį, vieno mėnesio pataisą. Tačiau reikės priversti visus vartotojus nedelsiant atnaujinti, o tai sutrikdytų senųjų versijų palaikymą. Mes nusprendėme prieš šį požiūrį naudotis stabilesniu ir patogesniu sprendimu.”
Tyrėjai kritikavo šį atsakymą, teigdami, kad įmonė ne kartą teigė, kad problemos buvo išspręstos, kai jų nebuvo.
„Jūsų vartotojai nusipelno geriau. Nustokite atiduoti seną programų palaikymą, o ne saugumą. Iš tikrųjų ištaisykite dalykus. Ir išbandykite savo pataisas prieš sakydami, kad jie veikia”, – pranešime rašė Bobdahackeris.
Galų gale „Lovense“ sako, kad liepos 3 d. Jie dislokavo įgaliotinį funkciją, kurią tyrėjai pasiūlė sušvelninti išpuolį. Tačiau net ir atlikus jėgos programos atnaujinimą, trūkumas nebuvo ištaisytas, todėl neaišku, kas buvo pakeista.
2016 m. Keli „Lovense“ trūkumai atskleidė el. Pašto adresus arba leido užpuolikams nustatyti, ar el. Pašto adresas turi „Lovense“ aksolį.
„Bleepingcomputer“ susisiekė su „Lovense“ komentuoti, tačiau negavo atsakymo.
CISOS žino, kad įsigyti lentą prasideda aiškus, strateginis vaizdas, kaip debesų saugumas skatina verslo vertę.
Šis nemokamas, redaguojamas valdybos ataskaitos denis padeda saugumo lyderiams aiškiai įvertinti riziką, poveikį ir prioritetus. Saugumo atnaujinimus paverskite prasmingais pokalbiais ir greitesniu sprendimų priėmimu posėdžių salėje.
