מחקר: צעצוע המין החכם שלכם עלול לגרום לכם נזק פיזי

חוקרי ESET מצאו פגיעויות באפליקציות השולטות בשני צעצועי המין החכמים שנחקרו. פגיעויות אלו עשויות לאפשר התקנת תוכנות זדוניות בטלפון המחובר, שינוי קושחה בצעצועים, ואפילו לגרום לשינוי במכשיר כך שעלול להיגרם נזק פיזי למשתמש.

איך יכול להיגרם נזק פיזי? פגיעויות ושינויים בקושחה עלולים להוביל להתקפות מסוג מניעת שירות (DoS) אשר חוסמות פקודות או מבצעות פעולות זדוניות כך שעלול להיגרם נזק פיזי למשל על ידי התחממות יתר של המכשיר.

כדי לטפל בסכנות אלה ולבדוק עד כמה צעצועים חכמים הינם מאובטחים, חוקרי ESET ניתחו שניים מהצעצועים הנמכרים ביותר למבוגרים בשוק: We-Vibe 'Jive' ו- Lovense 'Max (הראשון נמכר בארץ, והשני מצאנו קישורים להזמנה מאתרים שונים כמו אמזון). האנליסטים הורידו את אפליקציות הספק הזמינות בחנות Google Play אשר משמשות לשליטה במכשירים (We-Connect ו- Lovense Remote) והשתמשו במסגרות ייעודיות לניתוח פגיעות וכן בטכניקות ניתוח ישיר בכדי לזהות פגמים ביישומים.

We-Vibe

כמכשיר לביש, ה-We-Vibe Jive נוטה לשימוש בסביבה לא בטוחה. נמצא שהמכשיר מודיע ללא הרף על נוכחותו על מנת להקל על ההתחברות אליו, כלומר כל מי שיש לו סורק Bluetooth יכול למצוא את המכשיר בסביבתו, במידה והוא נמצא במרחק של שמונה מטרים משם. לאחר מכן יכולים תוקפים פוטנציאליים לזהות את המכשיר ולהשתמש בעוצמת האות כדי להנחות אותם אל הלובש.

ה-Jive משתמש בשיטות ההתאמה הפחות מאובטחות מבין BLE, לפיה קוד המפתח הזמני בו משתמשים ההתקנים במהלך ההתאמה מוגדר לאפס, וככזה, כל מכשיר יכול להתחבר באמצעות אפס כמפתח. ה-Vibe פגיע במיוחד להתקפות איש-אמצע (MitM), מכיוון ש-Jive שאינו מחובר למכשיר, יכול להתחבר אוטומטית לכל טלפון נייד, טאבלט או מחשב שמבקש ממנו לעשות זאת, מבלי לבצע אימות.

למרות שקבצי מולטימדיה המשותפים בין משתמשים במהלך הפעלות בצ'אט נשמרים בתיקיות האחסון הפרטיות של האפליקציה, המטא נתונים של הקבצים נשארים בקובץ המשותף. המשמעות היא שבכל פעם שמשתמשים שולחים תמונה לטלפון מרוחק, הם עשויים גם לשלוח מידע על המכשירים שלהם והמיקום הגיאוגרפי המדויק שלהם.

Lovense

למכשיר יש את היכולת להסתנכרן עם עמית מרחוק, מה שאומר שתוקף יכול להשתלט על שני המכשירים על ידי השגת גישה רק לאחד מהם. עם זאת, קבצי מולטימדיה אינם כוללים מטא נתונים לאחר קבלתם מהמכשיר המרוחק, והאפליקציה מציעה אפשרות להגדיר קוד נעילה בן ארבע ספרות באמצעות הכפתורים, מה שמקשה על התקפות brute-force (שמטרתן לנחש את הסיסמה של המשתמש).

אלמנטים מסוימים באפליקציה עשויים לאיים על פרטיות המשתמשים, כמו האפשרות להעביר תמונות לצדדים שלישיים ללא ידיעת בעל המכשיר והעובדה כי משתמשים חסומים או כאלו שנמחקו ממשיכים להיות בעלי גישה להיסטוריית הצ'אט ולכל קבצי המולטימדיה ששותפו בעבר. גם Lovense Max אינו משתמש באימות עבור חיבורי BLE, כך שניתן להשתמש בהתקפת MitM כדי ליירט את החיבור ולשלוח פקודות לשליטה במנועי המכשיר. בנוסף, השימוש של האפליקציה בכתובות מייל כמזהה עבור המשתמשים מעלה חששות מסוימים בנושאים הקשורים בפרטיות, כאשר הכתובות משותפות בטקסט רגיל בין כל הטלפונים המעורבים בכל צ'ט.

חוקרי ESET דניס ג'יוסטו וססיליה פסטורינו מזהירים: "יש לנקוט באמצעי זהירות בכדי להבטיח שצעצועי מין חכמים יקחו בחשבון נושאים הקשורים באבטחת סייבר ובטחון המשתמש, במיוחד בשל חומרת הסכנות הפוטנציאליות.

נראה כי אבטחת המשתמשים אינה בראש סדר העדיפויות של רוב המכשירים למבוגרים כרגע, אך ישנם צעדים שאנשים יכולים לנקוט כדי להגן על עצמם:

• השתדלו שלא לשתף תמונות וסרטונים בהם ניתן לזהות אתכם
• אל תפרסמו ברשת את האסימונים המאפשרים להתחבר אל מכשירכם
• השתדלו להיות אנונימיים ככל האפשר ושיקלו ליצור מייל חדש וייעודי למטרות אלו
• קראו את התנאים וההגבלות של האפליקציות ושימו לב לסעיפים שמדברים על איסוף ועיבוד נתונים על ידי החברה.
• הימנעו מספקים ללא מדיניות פרטיות. הימנעות משימוש במכשירים במקומות ציבוריים או באזורים בהם אנשים עוברים, כמו
  מלונות.
• שמרו על כל צעצוע חכם המחובר לאפליקציה הסלולרית שלו בזמן השימוש, מכיוון שזה ימנע מהצעצוע לפרסם את מיקומו בפני
  גורמי איום פוטנציאליים.
• השתמשו במנועי החיפוש על מנת לבדוק אם דגם המוצר בו אתם מעוניינים חווה בעבר פגיעות והאם ישנם תיקוני אבטחה

ככל ששוק צעצועי המין מתקדם ומתפתח, על היצרנים לשמור על אבטחת סייבר בראש מעייניהם, מכיוון שלכולם יש זכות להשתמש בטכנולוגיה בטוחה ומאובטחת."

לשני המפתחים נשלח דוח מפורט על הפגיעות והצעות כיצד לתקן אותן, ובזמן הפרסום טופלו כל הפגיעויות.

את המחקר במלואו ניתן לקרוא כאן