ESET odhalil hrozby inteligentných erotických hračiek, ktorých popularita v čase pandémie rastie

Predaj inteligentných erotických pomôcok rastie počas pandémie raketovým tempom. Protiepidemické obmedzenia totiž mnohým ľuďom nedovoľujú fyzické stretnutia. K zblíženiu tak často dochádza prostredníctvom erotických pomôcok, ktoré sa dajú ovládať na diaľku. Keďže spoločnosť ESET drží krok s aktuálnymi kybernetickými trendmi, posvietila si na bezpečnosť týchto hračiek vo výskume, ktorý odhalil viacero nástrah.

Tak ako mnohé digitálne zariadenia, aj inteligentné erotické pomôcky majú svoje zraniteľnosti, ktoré dokážu využiť útočníci. V prípade sexuálnych hračiek môžu pre ich chúlostivú povahu obete útoku utrpieť obrovské škody. Medzi hlavné riziká patria úniky citlivých informácií, v horších prípadoch však hrozí aj fyzické nebezpečie. Nástrahami dvoch populárnych zariadení sa podrobne zaoberali výskumníčky zo spoločnosti ESET v  rozsiahlej analýze „Sex v digitálnej ére – ako bezpečné sú inteligentné erotické pomôcky?“.

Spoločnosť ESET otestovala bezpečnosť dvoch najpredávanejších pomôcok na trhu – Jive od výrobcu We-Vibe a Max od spoločnosti Lovense. Obe erotické hračky sa ovládajú cez aplikácie, ktoré sú dostupné v online obchode Google Play (We-Connect a Lovense Remote). Slabé miesta objavili výskumníčky v oboch aplikáciách. Zraniteľnosti môžu útočníkom umožniť nainštalovanie škodlivého kódu do mobilu, zmeniť firmvér v erotických pomôckach a dokonca ich naviesť k fyzickému poškodeniu používateľov. 

We-Vibe

Erotická pomôcka Jive od spoločnosti We-Vibe je určená na celodenné nosenie, používatelia sa s ňou preto môžu ocitnúť aj v nebezpečnom prostredí. Zariadenie bolo navrhnuté tak, aby neustále oznamovalo svoju prítomnosť pre spárovanie sa s ovládacím prístrojom. To znamená, že sexuálnu hračku v blízkosti ôsmych metrov môže nájsť každý s Bluetooth vyhľadávačom. Výskumníčky zo spoločnosti ESET si všimli, že ak erotická pomôcka nebola v danom momente spárovaná s mobilom používateľa, dokázala sa bez overenia pripojiť k hocijakému inému telefónu či tabletu. Útočník by sa tak dokázal za určitých okolností zmocniť kontroly nad samotným vibrátorom.

Analýza poukázala aj na zraniteľnosti v ochrane údajov. Fotografie a videá, ktoré si medzi sebou vymieňajú používatelia, sú uložené v súkromných priečinkoch aplikácie. Po skončení chatu sa okamžite vymažú, čo je z hľadiska bezpečnosti dobrou správou. Horšie to však bolo s metadátami, ktoré zostávali na zdieľanom súbore. V praxi to znamená, že s každou zaslanou fotkou sa mohol príjemca dozvedieť aj informácie o polohe odosielateľa. 

Lovense

Ani erotická pomôcka Max od spoločnosti Lovense podľa analýzy spoločnosti ESET nevyžaduje overenie pri pripojení cez technológiu Bluetooth. Zaujímavosťou tejto sexuálnej hračky je, že sa dokáže zosynchronizovať so vzdialenou erotickou pomôckou a kopírovať jej pohyby. To znamená, že útočník by sa dokázal zmocniť ovládania oboch zariadení. Na rozdiel od aplikácie We-Vibe ale aplikácia Lovense neposúva druhej strane metadáta zaslaných multimediálnych súborov.

Niektoré prvky aplikácie však podľa analýzy spoločnosti ESET mohli aj tak ohroziť súkromie používateľov. Nepríjemným zistením bola možnosť preposlať fotografie tretej strane bez toho, aby o tom pôvodný odosielateľ vedel.  

Dôvodom na znepokojenie je aj fakt, že aplikácia používa na identifikáciu používateľov ich prihlasovacie mailové adresy. V textovom formáte sú tieto adresy navyše zdieľané so všetkými mobilmi v každom chate. Útočník tak dokáže získať prístup k mailovým adresám všetkých svojich kontaktov. Prostredníctvom týchto údajov môže používateľov napríklad vydierať.

Výskumníčky spoločnosti ESET Denise Giustová a Cecilia Pastorinová radia, ako sa pred nástrahami inteligentných pomôcok chrániť: „Jedným z krokov je vyhýbať sa používaniu týchto zariadení na verejnosti, alebo na miestach s veľkou fluktuáciou ľudí, ako sú napríklad hotely. Počas používania by mali inteligentné hračky zostať pripojené k svojim mobilným aplikáciám. Pomôcky tak nebudú oznamovať svoju prítomnosť možným útočníkom. Pri tom ako napreduje trh s erotickými pomôckami, musia výrobcovia klásť dôraz na kybernetickú bezpečnosť. Každý má predsa právo používať bezpečné technológie.“

Spoločnosť ESET poslala obom výrobcom detailnú správu o ich zraniteľnostiach a taktiež im poskytla návrhy na odstránenie nedostatkov. V čase publikovania analýzy obe spoločnosti všetky problémy vyriešili. Viac informácií o analýze nájdete v článku na portáli WeLiveSecurity.