El hecho de que casi todos los dispositivos o dispositivos puedan conectarse a Internet no significa que deban estarlo. Las interrupciones pueden inutilizar estos dispositivos “inteligentes” y muchos utilizan una seguridad débil que puede hacerlos fácilmente pirateados.
Y como descubrieron recientemente los investigadores de seguridad, las consecuencias de tener una falla de seguridad importante en un juguete sexual popular podrían haber sido catastróficas para decenas de miles de usuarios.
Pen Test Partners, empresa de seguridad con sede en el Reino Unido dijo que la falla en el candado de castidad Qiui Cellmate conectado a Internet, considerado como el “primer dispositivo de castidad controlado por aplicación del mundo”, podría haber permitido a cualquiera bloquear de forma remota y permanente el pene del usuario.
El bloqueo de castidad Cellmate funciona al permitir que un socio de confianza bloquee y desbloquee de forma remota la cámara a través de Bluetooth mediante una aplicación móvil. Esa aplicación se comunica con la cerradura mediante una API. Pero esa API se dejó abierta y sin contraseña, lo que permite a cualquiera tomar el control completo del dispositivo de cualquier usuario.
Debido a que la cámara fue diseñada para trabarse con un anillo de metal debajo del pene del usuario, los investigadores dijeron que puede requerir la intervención de un cortador de pernos de alta resistencia o una amoladora angular para liberar al usuario.
Alex Lomas, investigador de Pen Test Partners, dijo en una publicación de blog que un atacante podría bloquear “a todos dentro o fuera” muy rápidamente. “Tampoco hay una función de anulación de emergencia, por lo que si estás encerrado no hay salida”, escribió.
La API no segura también permitió el acceso a los mensajes privados y la ubicación precisa de la aplicación del usuario.
Una vulnerabilidad en la aplicación Cellmate de Qiui permitía a cualquier persona acceder sin autenticación a los mensajes privados y la ubicación de cualquier usuario. El bloqueo del dispositivo de castidad también se puede controlar de forma remota, dijeron los investigadores. (Imagen: Qiui)
TechCrunch se enteró por primera vez de la vulnerabilidad en junio. Los investigadores contactaron a Qiui, con sede en China, sobre la API defectuosa. Desconectar la API vulnerable habría bloqueado a cualquiera que usara el dispositivo. El desarrollador lanzó una nueva API para nuevos usuarios, pero dejó la API no segura para los usuarios existentes.
El director ejecutivo de Qiui, Jake Guo, le dijo a TechCrunch que una solución llegaría en agosto, pero que la fecha límite llegó y se fue. “Somos un equipo de sótano”, dijo. En un correo electrónico de seguimiento que explica los riesgos para los usuarios, Guo dijo: “Cuando lo solucionamos, crea más problemas”.
Al final, Qiui no cumplió con los tres plazos autoimpuestos para reparar la API vulnerable, dijo Lomas.
La decisión de salir a bolsa se tomó después de que Pen Test Partners se enteró de un problema de seguridad separado de otro investigador, que también encontró difícil obtener una respuesta de Qiui. “Esto reforzó nuestra decisión de publicar: claramente, era probable que otros encontraran estos temas independientes de nosotros, por lo que el caso de interés público se hizo en nuestras mentes”, escribió Lomas.
No se sabe si alguien explotó maliciosamente la API vulnerable. Varias reseñas de usuarios de la aplicación se quejaron de que la aplicación tenía errores que harían que el dispositivo permaneciera bloqueado.
“La aplicación dejó de funcionar completamente después de tres días y estoy atascado”. dijo un usuario. Otro dijo que “ya se atascaron dos veces al usarlo debido a la aplicación poco confiable”.
“Funcionó durante aproximadamente un mes hasta que casi me quedo atascado. Afortunadamente, se desbloqueó al azar y pude salir de él. El dispositivo dejó una cicatriz grave que tardó casi un mes en recuperarse ”, dijo otra revisión.
Qiui se une a una larga lista de juguetes sexuales con problemas de seguridad que, de forma inherente, no existen en dispositivos que no están conectados a Internet. En 2016, los investigadores dicen que un error en un “destructor de bragas” con tecnología Bluetooth permitió a cualquiera controlar de forma remota el juguete sexual a través de Internet. En 2017, un fabricante de juguetes sexuales inteligente resolvió una demanda después de ser acusado de recopilar y registrar “datos muy íntimos y sensibles” de sus usuarios.
Practique sexo seguro; no use un dispositivo inteligente.
Historias relacionadas:
Source link