假如手機搜到了一個啟用了震動棒的藍牙信號,你能在沒有主人授權的情況下開啟這個設備嗎?
最近,一名叫Lomas的滲透測試員與其在網絡安全公司的小伙伴就這個問題做了個小實驗,他們用手機里的LightBlue快速搜索到了一個陌生人使用的Lovense Hush震動棒,這款震動棒或許是市場上同類產品中最牛的。更重要的是,Hush是可以被黑客入侵的。
我們使用的無線設備越來越多,而相關的法律還跟不上這種發展,特別是類似遠程震動棒這類應用。比如剛剛提到的Lomas所遇到的例子,雖然在實驗室外發生的幾率較小,但入侵震動棒的可能性是存在的。
Lomas將其測試結果發表在了Pen Test伙伴的博客里。在【視頻】采訪中,他做了如下總結:
Hush使用低耗能的藍牙模式,這是比較新的藍牙模式,目的是連接智能設備。
如果是在公共場所使用這款Lovense Hush按摩產品,另一名測試員可在30英尺(9.144米)范圍內通過手機控制這款產品的震動速度和模式。在這種情況下,Hush將會進入發現模式,可供其它人發現并加以控制,這里未設置密碼保護,要么PIN碼是簡單易猜的0000或1234——如此輕易被爆*。
有些白帽子已經曝光了一組成人用品公司——Lovense,Wevibe——他們一直在收集用戶的隱私數據,但其存儲庫不穩定,而他們的客戶并不知道這些。WeVibe數據的不安全性使其收到多宗侵犯隱私的訴訟,而第三方介入遠程性愛行為的可能性還極少被探討。
Hush并非唯一讓黑客有機可乘的成人玩具:任何啟用了藍牙功能的小玩意,如助聽器或煙霧探測器,都可能存在被第三方檢測到的風險。而像Body Chat或配備攝像頭的Siime Eye震動棒等非常私密的智能型成人用品很容易被劫持。
此前,E安全曾報道過售價近250美元Svakom(司沃康)Siime Eye情趣用品就能輕易被黑客入侵。這款設備本身已經帶有視頻流功能,如果有人在設備Wi-Fi范圍內,他們就可以猜到密碼。如果產品的WiFi默認密碼(88888888)未被修改,黑客幾乎不需要動手就可以立即加入并觀看視頻。黑客甚至還可以控制固件,并遠程連接。總之,當某人使用這款Siime Eye,黑客就能在用戶不知情的情況下觀看視頻流,甚至能現場直播。
性犯罪 or 網絡犯罪?
那么入侵智能型成人用品到底屬于性犯罪還是網絡犯罪呢?
對于這類成人用品的法律實施或許要取決于受害者所使用的實際用品的類型。高科技的成人用品越來越向物聯網方向發展——同步應用,虛擬現實的情趣對話,可跨國使用的遠程震動棒——但這些產品的制造商都沒有修補其產品的安全漏洞。或許,現在還不需要去苦惱黑客是否會劫持這些設備,但是否是時候思考一下,未來的性犯罪會是以何種方式發生呢?總比等到事情發生后再去想要好。
京公網安備 11010502049343號