in

Le piratage d’un gadget de chasteté pour homme emprisonne le sexe des utilisateurs

Une faille de sécurité dans une ceinture de chasteté pour hommes de haute technologie permet aux pirates informatiques de verrouiller à distance tous les dispositifs utilisés simultanément.

La gaine reliée à Internet n’a pas de commande manuelle, de sorte que les propriétaires ont pu être confrontés à la perspective de devoir utiliser une meuleuse ou un coupe-boulons pour se libérer de son attache métallique.

L’application du sex toy a été corrigée par son développeur chinois après qu’une équipe de professionnels de la sécurité britanniques a signalé le bug.

Ils ont également publié une solution de contournement. Cette solution pourrait être utile à toute personne utilisant encore l’ancienne version de l’application et qui se retrouve bloquée à la suite d’une attaque.

Toute autre tentative de couper le corps en plastique de l’appareil présente un risque de dommage.

Pen Test Partners (PTP) – la société de cybersécurité impliquée, basée à Buckingham – a la réputation de mettre en lumière des découvertes bizarres, y compris des problèmes avec d’autres jouets sexuels dans le passé.

Selon elle, la dernière découverte indique que les fabricants de produits « intelligents » destinés aux adultes ont encore des leçons à tirer.

« Le problème est que les fabricants de ces autres jouets se précipitent parfois sur le marché », commente Alex Lomas, un chercheur de l’entreprise.

« La plupart du temps, le problème est une divulgation de données personnelles sensibles, mais dans ce cas, vous pouvez être physiquement enfermé ».

Verrouiller et serrer

La cage de chasteté de Qiui est vendue en ligne pour environ 190 $ et est commercialisée comme un moyen pour les propriétaires de donner à un partenaire le contrôle de l’accès à leur corps.

Les Pen Test Partners estiment qu’environ 40 000 appareils ont été vendus sur la base du nombre d’identifiants qui ont été accordés par son créateur basé à Guangdong.

La cage se connecte sans fil à un smartphone via un signal Bluetooth, qui est utilisé pour déclencher le mécanisme de verrouillage et de serrage de l’appareil.

Mais pour y parvenir, le logiciel s’appuie sur l’envoi de commandes à un serveur informatique utilisé par le fabricant.

Les chercheurs en sécurité soutiennent avoir découvert un moyen de tromper le serveur en lui faisant divulguer le nom enregistré de chaque propriétaire d’appareil, entre autres détails personnels, ainsi que les coordonnées de chaque endroit d’où l’application est utilisée.

De plus, ils ont dit qu’ils pouvaient révéler un code unique qui avait été attribué à chaque appareil.

Ils ont ajouté que ces codes pouvaient être utilisés pour que le serveur ignore les demandes de déverrouillage des jouets de chasteté identifiés, laissant les utilisateurs enfermés.

L’équipe de M. Lomas a signalé le problème à Qiui en mai, après quoi elle a mis à jour son application ainsi que l’interface de programmation d’application (API) basée sur le serveur concerné.

Mais elle a quand même laissé une version antérieure de l’API en ligne, ce qui signifie que ceux qui n’avaient pas téléchargé la dernière version de l’application restaient théoriquement en danger.

Pen Test Partners a envoyé des courriels de suivi pour demander que cette question soit traitée et a fait appel au site d’information Techcrunch pour l’aider à agir.

Techcrunch déclare que le directeur général de Qiui lui a ensuite dit qu’il avait essayé de s’attaquer au problème mais ajoute: « quand on le répare, cela crée plus de problèmes ».

Cinq mois après la première prise de contact, l’équipe de sécurité britannique a décidé de rendre le problème public.

« Étant donné la nature triviale de la découverte de certains de ces problèmes et le fait que Qiui travaille sur un autre dispositif interne, nous nous sommes sentis obligés de publier », a déclaré M. Lomas.

Pen Test Partners reconnaît qu’en agissant ainsi, il rendait toutefois plus probable une attaque dans le monde réel.

La BBC a demandé à Qiui de faire un commentaire. Techcrunch a indiqué qu’il n’y avait aucune preuve que le piratage avait été exploité par quiconque pour causer des dommages.

Mais elle a noté qu’un utilisateur qui semblait s’être enfermé à cause d’un bug sans rapport a posté qu’il avait été laissé avec « une mauvaise cicatrice qui a pris près d’un mois de récupération ».

Pris sur BBC Afrique

 

Comments

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Loading…

0

Apple ouvrira sa première boutique en ligne en Inde la semaine prochaine

Sony lancera la PlayStation 5 en novembre