身分洩露危機|Lovense情趣用品被揭安全漏洞 用家電郵一秒曝光
宣稱擁有超過 2,000 萬用家的互動情趣用品製造商 Lovense,近日被發現一個嚴重的零日漏洞。攻擊者只須知道用家的公開帳戶名稱,便可輕易獲取其私人電郵地址,令用家面臨被揭露身分及騷擾的風險。今次事件曝光後令平台的安全性受到質疑,相信會對商譽造成極大打擊。
Lovenese 的總部位於新加坡,是一間專門推出以應用程式控制情趣用品的品牌,旗下產品有 Lush、Gush 及 Kraken 等。根據外國媒體報道,安全研究員 BobDaHacker 於今年三月首次發現 Lovense 平台的兩個安全漏洞,分別是容許攻擊者透過用家帳戶名稱揭露電郵地址的設計缺陷,以及可用於帳戶騎劫的漏洞。
一秒揭露電郵地址
其中一個漏洞,源於 Lovense 平台的聊天系統與後端伺服器之間的設計缺陷,使攻擊者可以利用一系列操作輕鬆獲取用家的電郵地址。攻擊者只需先用自己的 Lovense 帳號向後端 API 取得驗證代碼(token)和加密金鑰;接著將目標用戶名加密後再次提交給 Lovense 的伺服器查詢,系統會回傳一組特殊 Jabber 通訊標識(JID),當中包含了對方的真實電郵信息(如user!!![email protected],只需簡單還原便能得出「[email protected]」)。
上述過程可被完全自動化,專家證實每秒可破解及獲取一個目標電郵,對於帳號曾在公開網站上曝光的用戶尤為危險。
除電郵洩露外,研究員又發現另一個更加嚴重的漏洞,允許攻擊者透過電郵地址生成身分驗證token,這樣黑客便可在毋須知道帳戶密碼下騎劫帳戶,冒充受害者訪問多個 Lovense 平台,包括 LovenseConnect、StreamMaster 和 Cam101。
研究員批修復時間緩慢
Lovense 於今年 6 月 4 日聲稱漏洞已修復,但測試結果顯示問題並未完全解決。直至 7 月,Lovense 宣稱已修復帳戶騎劫漏洞,但對於電郵洩露問題,則需時 14 個月才能完全修復,因為快速修復會影響舊版本應用的兼容性。
研究員批評,這些漏洞的存在使 Lovense 用家的個人資料曝露於潛在攻擊威脅之下,尤其是用家經常會用帳戶名稱在論壇或社交媒體上分享體驗,特別容易成為攻擊者的目標。即使 Lovense 已展開長期修復計劃,惟處理態度實過於緩慢,而且漏洞在宣稱完成修復後仍然存在。
事件發展至 7 月底,Lovense 在最新聲明中表示,完整修復計劃已提交至應用商店,並預計於未來一周推送給所有用家,而在研究員進一步跟進下,指現時漏洞已經堵塞,相信是 Lovense 已採用了更快的解決方法。
