現在什麼東西都要講究個 IoT 來象徵與網路時代的接軌,還有帶給人智慧的印象,但有些產品在中斷網路連接時卻會無法使用,而且有許多標榜智慧的連網設備安全性都不怎麼重視,因此很容易被駭客入侵。英國的安全研究人員發現,有一款成人用品存在重大的安全性漏洞,其後果對於用戶來說簡直是媲美大海嘯的災難。
中國品牌成人用品有API 漏洞,老二可能會被駭客永久鎖定
英國安全公司 Pen Test Partners 發現,中國廠商所出品的一款號稱「全球首款應用程式控制貞操裝置」的 Qiui Cellmate (囚愛)男用智慧貞操鎖存在網路安全缺陷,可能使任何人可以遠端勇就性地鎖定用戶的「小老弟」。Qiui Cellmate 的運作原理是允許受信任的對象使用行動裝置上的應用程式,利用藍牙遠端鎖定與解鎖。該應用使用 API 與貞操鎖之間進行通訊,問題就出在這 API 仍處於開放狀態,且並沒有設置密碼,因此任何人都可以獲得完全權限去控制任何用戶正在使用的設備。
由於該貞操帶的設計是將使用者命根子下方以金屬環鎖定,倘若被永久鎖定,可能需要重型機具才能切斷金屬環,還給用戶自由之身。該安全公司的研究員在一篇部落格文章中寫道,攻擊者可以非常快速地鎖定所有人,且沒有緊急應變功能,如果你在外面被鎖起來就等於完全沒有辦法解除。而這支不安全的 API 還允許從用戶的應用程式訪問私人資訊和精確的定位資訊等。
國外媒體 TechCrunch 於 6 月了解這個漏洞,研究人員進而聯繫了總部位於中國的 Qiui 詢問關於此 API 缺陷的問題,開發者表示將會為新用戶推出新的 API,但不安全的 API 則會繼續留給現有的用戶。Qiui 的執行長曾表示 8 月會釋出更新修復,但期限已經過去了仍沒有進行修補,最終該公司定下的 3 個期限都放了鴿子無所作為,於是才被媒體披露出來。在該公司給媒體的後續回覆裡面更曾表示修復時會帶來更多問題,對於另外發現的安全性問題亦難以回應。
目前還不清楚是否有用戶因惡意份子利用 API 漏洞而受攻擊,該配套應用程式下的評論中卻能看出存在導致設備持續鎖定的問題。所以大家在選購這類對人身具禁錮性的成人用品時,還是避免選擇這類標榜「智慧」的連網裝置,以免預期中的愉悅沒到來之前就先給自己找麻煩。
◎資料來源:TechCrunch、Pen Test Partners