安全研究员 BobDaHacker 近日公布了成人用品制造商 Lovense 的高危安全漏洞,可远程控制玩具造成实质性危害。
BobDaHacker 表示,他在 3 月时发现了这家公司的系统存在安全漏洞,随后他通过 HackerOne 平台反馈漏洞后得到了 3000 美元的奖励。
但 Lovense 后续表示,他们需要 14 个月才能修复这些漏洞。研究员并不认可这个说法,因此他按照行业惯例(90 天披露原则),在漏洞提交满 90 天后,将该公司的高危级别安全漏洞细节完全公开。
这个漏洞的具体运作方式如下:
1.泄露用户的真实邮件地址:
BobDaHacker 在使用 Lovense 的 App 时发现了其存在的漏洞,但这个漏洞较为低级,任何使用网络分析工具的用户都可以看到与之交互的用户的电子邮件地址(不需要添加好友)。
研究员使用了账户 A 和账户 B 进行举例,他借助网络分析工具抓取流量后发现,Lovense 的 App 直接将用户名与电子邮箱关联,所以即使 A 账户使用乱码名字,B 账户的持有人只要懂点网络知识就可以抓取到 A 账户持有人的电子邮箱,从而进一步定位真实身份。
甚至这种操作流程还可转化为自动化脚本,不到 1 秒就可以获取到素不相识用户的电子邮箱。
2.接管账户并控制玩具:
黑客在拿到电子邮箱地址后,借助漏洞即可创建身份验证令牌,不需要密码或其他验证方式即可直接访问 Lovense 账户。
BobDaHacker 声称,如果用户使用的成人用品联网且绑定 Lovense 账户,那么黑客就可以直接访问 Lovense 账户,进而远程控制成人用品,这可能在现实世界中造成伤害。
研究员强调,因为任何人只要知道 Lovense 账户的电子邮件地址就能接管账户并控制成人用品,所以这个漏洞危害非常大。
Lovense 的媒体发言人昨天指出:“相关漏洞已经在 6 月底完全修复,下周将向所有用户推送更新以修复漏洞”。但 BobDaHacker 对此并不买账,认为 Lovense 是在撒谎,这些漏洞仍然能复现。
你的跳蛋可能会被黑客远程控制
| 人围观 |随便看看
- [写真] 这样的女孩好迷人[28P]
- 小菜小屋的小姐姐一览(20250303)gfeinjapan/everyalld
- [亚洲] 莲妹 [20P]
- [欧美] 孤独美妇 [28P]
- 高端玩家[19P]
- 《胡说新语-指卢为鲁》(原创无图)
- 讨论一下仙人跳
- [亚洲] 美女写真 [28P]
- [法广] 中国官方首次披露多名高级将领消失原因
- [电子课本]老师家长必备,小学1-6年级所有学科电子课
- 老榴友的痛苦心声
- 反差婊爱露出 第九期 [132P]
- [精品软件分享]安卓福音,app分身,100个够不够你用?Clon
- [欧美] 奢华金光[26P]
- 小骚逼控制不住自己了[23P]
- 高颜值少女大尺度自拍投稿[10P]
- [老牛分享第15期] 人见人爱的反差婊爆光墙 第八期
- 赵乐际亲信被判死缓 终身监禁
- 动图GIF[84P]
- [原创]群里大哥手势举牌认证淫妻绿帽骚妻大家多多评
- 浮世汇918 工作对日常生活的殖民
- 大尺度拍照 [21P]
- [欧美] 黑发少女坎迪·克鲁,被男友猛烈插入从阴道里
- 体制内,漂亮女公务员,大多嫁给了这3种人,最后一种婚姻
- 美驻乌大使辞职传达出什么信号?
- 李强:北京密云暴雨洪涝灾害造成重大人员伤亡
- 6月29日,星期一简要,每天60秒知天下
- SSPD-134 姐姐妹妹小穴扒开 无名屌丝性福双飞 [119P
- 靓丽大学生[25P]
- 分享一个在telegrame上的常见骗局
- [开盘] [技术区大乐透]第25105期 投注截止时间:2025-
- [原创]0731的夫妻投稿ID认证大黑吊假阳具插入[16P]
- [欧美] 安娜·阿杰[23P]
- 中东战争推高全球滞涨风险 预计欧洲数据将显示情况
- [安卓软件]无广告,Ai一键生成专属音乐,文字、图片秒变
- [欧美] Niemira[23P]
- [干活分享]网络下载中可以识别嗅探网络音视频资源,使
- 人妻女友的秘密 第225期 [120P]