Une faille de sécurité dans une ceinture de chasteté de haute technologie pour hommes a permis aux pirates de verrouiller à distance tous les appareils utilisés simultanément.
La gaine connectée à Internet n’a pas de commande manuelle, de sorte que les propriétaires auraient peut-être été confrontés à la perspective de devoir utiliser une meuleuse ou un coupe-boulon pour se libérer de sa pince métallique.
L’application du jouet sexuel a été corrigée par son développeur chinois après qu’une équipe de professionnels de la sécurité britanniques a signalé le bogue.
Ils ont également publié une solution de contournement.
Cela pourrait être utile à toute personne utilisant encore l’ancienne version de l’application qui se trouve bloquée à la suite d’un attaquant utilisant la révélation.
Toute autre tentative de couper le corps en plastique de l’appareil présente un risque de blessure.
Pen Test Partners (PTP) – la société de cybersécurité impliquée à Buckingham – a la réputation de mettre en lumière des découvertes originales, y compris des problèmes avec d’autres jouets sexuels dans le passé.
Il dit que la dernière découverte indique que les fabricants de produits «intelligents» sur le thème des adultes ont encore des leçons à tirer.
«Le problème est que les fabricants de ces autres jouets précipitent parfois leurs produits sur le marché», a commenté Alex Lomas, chercheur à la firme.
« La plupart du temps, le problème est la divulgation de données personnelles sensibles, mais dans ce cas, vous pouvez être physiquement enfermé. »
Serrure et pince
La cage de chasteté Cellmate de Qiui est vendue en ligne pour environ 190 $ (145 £) et est commercialisée comme un moyen pour les propriétaires de donner à un partenaire le contrôle de l’accès à leur corps.
Pen Test Partners pense qu’environ 40 000 appareils ont été vendus sur la base du nombre d’identifiants accordés par son créateur basé à Guangdong.
La cage se connecte sans fil à un smartphone via un signal Bluetooth, qui est utilisé pour déclencher le mécanisme de verrouillage et de serrage de l’appareil.
Mais pour y parvenir, le logiciel repose sur l’envoi de commandes à un serveur informatique utilisé par le constructeur.
Les chercheurs en sécurité ont déclaré avoir découvert un moyen de tromper le serveur en lui faisant divulguer le nom enregistré de chaque propriétaire de l’appareil, entre autres détails personnels, ainsi que les coordonnées de chaque emplacement à partir duquel l’application avait été utilisée.
De plus, ont-ils dit, ils pourraient révéler un code unique qui avait été attribué à chaque appareil.
Ceux-ci pourraient être utilisés pour obliger le serveur à ignorer les demandes d’applications pour déverrouiller l’un des jouets de chasteté identifiés, ont-ils ajouté, laissant les porteurs enfermés.
L’équipe de M. Lomas a signalé le problème à Qiui en mai, après quoi elle a mis à jour son application ainsi que l’interface de programmation d’application (API) sur serveur impliquée.
Mais cela laissait toujours une version antérieure de l’API en ligne, ce qui signifie que ceux qui n’avaient pas téléchargé la dernière version de l’application restaient théoriquement à risque.
Pen Test Partners a envoyé des e-mails de suivi demandant que cela soit résolu et a impliqué le site d’actualités Techcrunch pour aider à faire pression.
Techcrunch a dit Le directeur général de Qiui lui a dit par la suite qu’il avait essayé de s’attaquer au problème mais a ajouté: « Quand nous le réparons, cela crée plus de problèmes. »
Cinq mois après le premier contact, l’équipe de sécurité britannique a décidé de devenir publique.
« Compte tenu de la nature triviale de trouver certains de ces problèmes et du fait que Qiui travaille sur un autre appareil interne, nous nous sommes sentis obligés de publier », a déclaré M. Lomas.
Pen Test Partners a reconnu que, ce faisant, cependant, une attaque dans le monde réel était plus probable.
La BBC a demandé à Qiui de commenter.
Techcrunch a rapporté qu’il n’y avait aucune preuve que le piratage avait été exploité par quiconque pour causer du tort.
Mais il a noté qu’un critique en ligne qui semblait s’être enfermé en raison d’un bug non lié a signalé qu’il s’était retrouvé avec « une mauvaise cicatrice qui a pris près d’un mois de récupération ».