Akármi is volt az oka, valaki úgy gondolta, hogy jó ötlet lenne netre köthető szexjátékszereket gyártani. Ken Munrónak, a Pen Test Partners biztonsági cég főnökének ez jó lehetőséget nyújtott, hogy behatolási képességeit próbára tegye. Persze csak digitálisan…
Elkezdte tanulmányozni a Lovense cég Nora és Max fantázianevű játékszereit, amelyek mindkét nem örömét hivatottak szolgálni. (Az eltérő szexuális preferenciák nem voltak tényezők a cég marketingstratégiájában.) Ezek az eszközök lehetővé tették a felhasználóknak, hogy a különböző funkciókat egy alkalmazáson keresztül próbálják ki.
A mókafaktor növelése kedvéért a partner képes távolról parancsokat adni a másik fél játékszerének. Így például valaki akár Berkshire-ből is felizgathatja Timbuktuban lévő kedvesét csupán okostelefonja képernyőjének simogatásával vagy mondjuk PC-jén keresztül. Mindebben a sokatmondó „teledildonic” szoftver van a segítségünkre.
A vibrátorok használhatják a „Body chat” (Testbeszéd) szolgáltatást is. Ez olyasmi, mint a Skype, csak kifejezetten virtuális szexre hangolva, és egy gyors regisztrálást igényel a Lovense weboldalán. És ez az a pont, ahol a biztonság csorbát szenved, nyilatkozta Munro a Forbesnak. A regisztrációs folyamat egész egyszerűen nincs titkosítva, így, ha valaki éppen a vonalunk körül szaglászik, könnyedén meg tudja kaparintani a bejelentkezési adatokat. A jelszavakat csak egyirányú kirptográfiai megoldással, egy hash függvénnyel védik, de abból is egy gyenge típusúval, az MD5-tel. „Meglehetősen egyszerű hozzáférni egy felhasználó fiókjához és megszerezni néhány igazán szaftos tartalmat, különösen akkor, ha az áldozat egy ’barát’ egy közös háztartásban, aki ugyanazt a wifi elérési pontot használja”, mondta Munro.
A Lovense reagált a problémákra, és azt nyilatkozták a Forbesnak, hogy tervben van a biztonság növelése a szolgáltatásaik kapcsán. „Tervezzük a jelszó titkosítást az RSA publikus/privát kulcs és az MD5 együttes alkalmazásával. Ezt a következő frissítés során fogjuk bevezetni. A login adatokat pedig HTTPS protokollon keresztül fogjuk továbbítani. Ez így elég kell, hogy legyen a regisztrációs folyamat során”, nyilatkozta a szóvivő.
Megjegyezték, hogy az alkalmazás csak a vibrátor mozgási mintázatát és a „légyott” hangját rögzíti, nem pedig videót, bár egyiket sem titkosítja. Azt is elmondták, hogy a Lovense nem tárolja a felvételeket a saját szerverein, úgyhogy aki illetéktelenül hozzájutott a belépési adatokhoz, nem képes hozzáférni a rögzített adatokhoz a neten keresztül. A hacker csak a személy kontakt listáját láthatja. A videókat AES-128-as titkosítású média streammel védik, bár ez a leggyengébb védelem a három létező AES változat közül. A szóvivő elismerte, hogy a videofelvételek titkosítása rengeteg okostelefon-erőforrást emésztene fel, és mint ilyet, nem is alkalmazták. „Reméljük, hogy felhasználóink olyan felelősségteljesen használják a felvételi funkciót, mint ahogy azt bárki tenné meztelen szelfik vagy videók esetében.”
Munro, aki folytatja a Lovense eszközök tesztelését, nem csak felnőttjátékokkal próbálkozik. Egy gyermekek számára készült babából csinált mocskos szájú démoni törpét. My Friend Cayla, egy népszerű, a Vivid Toy Group által készített modell, amely okostelefon-alkalmazáson keresztül rávehető, hogy egy barátként szóljon a gyerekekhez. Kinek kellenének valódi barátok ezek után?
Minthogy csak egy minimális védelemmel látták el a mobilalkalmazást, könnyedén lecserélhetőek a játék beépített gyári válaszai a gyermeki közhelyekről sokkal durvább tartalomra. A támadó könnyedén párosítja a babát a saját eszközéhez vagy közvetlenül, vagy távolról. „Véleményünk szerint a babákból simán kémet lehetne faragni, amikor a gyermekekkel interakcióba lépnek. Érdemes kikapcsolni őket, ha nincsenek használatban, és erős PIN kóddal kell ellátni a mobilokat is. Hosszabb távon a gyártóknak PIN kódot kell alkalmazniuk a Bluetooth párosítási folyamat során is, de ez nem nagyon valósítható meg a termékek visszahívása nélkül.”
A gyártó elmondta, hogy a Munro által talált hibák javítása napirenden van, és hamarosan jön a frissítés az alkalmazáshoz. De egyelőre Cayla simán átprogramozató úgy, hogy szörnyű dolgokat mondjon, ahogy az alábbi videóban is hallható.
Az ilyen eszközök védelmével való játszadozás felett érzett örömön túl azért van egy komolyabb része is a dolognak: ha a tárgyainkat az internethez kapcsoljuk, könnyen kiszolgáltatottá válhatnak a hackerek számára, különösen ha a védekezést nem vették figyelembe már a gyártás során.
Úgy tűnik, hogy itt az ideje a változtatásnak akkor, amikor az emberek legintimebb pillanatai válhatnak hackerek prédájává. És pont ezért bukkantak fel az olyan nonprofit csoportok, mint a Builditsecure.ly is, hogy nyomást gyakoroljanak a gyártókra, hogy azok gondoljanak a biztonságra és az adatvédelemre már a tervezési folyamatok elejétől fogva.
Forrás: Forbes