Poiché i dispositivi Internet of Things (IoT) continuano a penetrare nelle nostre case e offrono una gamma sempre più ampia di funzionalità, iniziano a sorgere nuove preoccupazioni sulla sicurezza dei dati elaborati da questi dispositivi. Sebbene siano stati soggetti a innumerevoli violazioni della sicurezza che hanno portato all'esposizione dei dettagli di accesso, delle informazioni finanziarie e della posizione geografica delle persone, tra gli altri, ci sono pochi tipi di dati potenzialmente più pericolosi capaci di danneggiare gli utenti rispetto a quelli relativi alle loro preferenze e comportamenti sessuali .
Con i nuovi modelli di giocattoli sessuali intelligenti che entrano continuamente nel mercato, potremmo pensare che si stanno compiendo progressi nel rafforzamento dei meccanismi che garantiscono buone pratiche nel trattamento delle informazioni degli utenti. Tuttavia, la nostra ricerca ha rivelato interessanti falle di sicurezza derivate sia dall'implementazione delle app che controllano i dispositivi sia dal design di questi dispositivi, che influenzano l'archiviazione e l'elaborazione delle informazioni. Oggi, questi risultati sono più rilevanti che mai, dal momento che stiamo assistendo a un rapido aumento delle vendite di giocattoli sessuali come riflesso della situazione attuale in tutto il mondo e delle misure di allontanamento sociale relative al COVID-19.
Come per qualsiasi altro dispositivo IoT, ci sono alcune minacce alla privacy quando si utilizzano giocattoli per adulti abilitati a Internet. Le vulnerabilità potrebbero consentire agli aggressori di eseguire codice dannoso sul dispositivo o di bloccarlo impedendo all'utente di inviare qualsiasi comando al giocattolo. In effetti, abbiamo già visto scenari di casi reali che coinvolgono attacchi simili, poiché i ricercatori hanno trovato ransomware mirato a bloccare cinture di castità vulnerabili mentre i dispositivi sono in uso e chiedendo alle vittime di pagare un riscatto per sbloccare gli aggeggi e liberarsi.
Caratteristiche dei giocattoli sessuali intelligenti
Al giorno d'oggi, i giocattoli sessuali intelligenti presentano molte caratteristiche: controllo remoto su Internet, chat di gruppo, messaggi multimediali, videoconferenze, sincronizzazione con canzoni o audiolibri e la capacità di connettersi con assistenti intelligenti, solo per citarne alcuni. Alcuni modelli possono sincronizzarsi per replicare i loro movimenti e altri sono indossabili.
In termini di architettura, la maggior parte di questi dispositivi può essere controllata tramite Bluetooth Low Energy (BLE) da un'app installata su uno smartphone. L'app è responsabile dell'impostazione delle opzioni sul dispositivo e del controllo del processo di autenticazione dell'utente. A tal fine, si connette a un server nel cloud, che memorizza le informazioni sull'account della persona. In alcuni casi, questo servizio cloud funge anche da intermediario tra i partner utilizzando funzionalità come chat, videoconferenza e trasferimento di file, o anche fornendo il controllo remoto dei propri dispositivi a un partner.
Questa architettura presenta diversi punti deboli che potrebbero essere utilizzati per compromettere la sicurezza dei dati in elaborazione: intercettare la comunicazione locale tra l'app di controllo e il dispositivo, tra l'app e il cloud, tra il telefono remoto e il cloud, o attaccare direttamente il servizio basato su cloud. Nonostante siano già stati sottoposti al controllo di molti ricercatori sulla sicurezza, la nostra indagine ha dimostrato che questi dispositivi continuano a contenere falle di sicurezza che potrebbero minacciare la sicurezza dei dati memorizzati nonché la privacy e anche la sicurezza dell'utente.
Perché la sicurezza è così importante quando si tratta di giocattoli sessuali?
Come si può immaginare, la sensibilità delle informazioni elaborate dai giocattoli sessuali è estremamente critica: nomi, orientamento sessuale o di genere, elenchi di partner sessuali, informazioni sull'uso del dispositivo, foto e video intimi: tutte queste informazioni possono avere conseguenze disastrose se cadono nelle mani sbagliate. Nuove forme di sextortion compaiono sul radar se consideriamo il materiale intimo accessibile attraverso le app che controllano questi dispositivi.
Oltre alle preoccupazioni per la privacy, anche i giocattoli sessuali intelligenti non sono esenti dalla possibilità di essere compromessi da cyberattaccanti. Per quanto riguarda le vulnerabilità nell'app di controllo di un giocattolo sessuale, un utente malintenzionato potrebbe assumere il controllo del giocattolo che porta ad attacchi DoS (Denial of Service) che bloccano la consegna di qualsiasi comando o un dispositivo che è armato per eseguire azioni dannose e propagare malware , o anche un dispositivo deliberatamente modificato per causare danni fisici all'utente, ad esempio per surriscaldamento.
E infine, quali sono le conseguenze se qualcuno è in grado di prendere il controllo di un dispositivo sessuale senza consenso, mentre viene utilizzato, e inviare comandi diversi al dispositivo? Un attacco a un dispositivo sessuale è un abuso sessuale e potrebbe persino portare a un'accusa di violenza sessuale?
Valutazione della sicurezza di due dispositivi popolari
Lo scopo di questa ricerca era determinare il livello di sicurezza nelle app Android create per controllare i modelli più popolari venduti dalle principali marche di dispositivi per il piacere sessuale e stabilire così in che misura assicurano la riservatezza dei dati dei propri utenti. L'analisi si basa su due modelli: Max di Lovense e We-Vibe Jive.
Le successive sezioni descrivono in dettaglio alcuni dei problemi di sicurezza che abbiamo riscontrato per ogni app e dispositivo. Ad entrambi gli sviluppatori è stato inviato un rapporto dettagliato delle vulnerabilità e suggerimenti su come risolverle. Al momento della pubblicazione di questo articolo, tutte le vulnerabilità sono state risolte. Vorremmo ringraziare WOW Tech Group e Lovense per la loro collaborazione nell'affrontare i problemi segnalati.
Connessione Bluetooth (BLE)
Poiché in questo protocollo il dispositivo periferico deve annunciare continuamente la sua connessione in modo che l'utente possa connettersi ad esso, chiunque può utilizzare un semplice scanner Bluetooth per trovare questi dispositivi nelle loro vicinanze.
Nello scanner possiamo vedere sia Jive che Max e informazioni dettagliate. Jive si annuncia con il nome del modello, rendendolo molto facile da identificare. Inoltre, la potenza del suo segnale è di -69 dBm. Man mano che lo scanner si avvicina al dispositivo, questo livello di potenza aumenterà, consentendo di localizzarne il proprietario.
Sia Jive che Max vengono accoppiati utilizzando il metodo "Just Works", che è il meno sicuro di tutti i metodi di accoppiamento BLE. In questo metodo, la chiave temporanea utilizzata dai dispositivi durante la seconda fase di accoppiamento è impostata a 0, quindi i dispositivi generano il valore della chiave a breve termine su questa base. Questo metodo è ampiamente aperto agli attacchi man-in-the-middle (MitM), poiché qualsiasi dispositivo può connettersi utilizzando 0 come chiave temporanea. In termini pratici, ciò significa che Jive e Max si collegheranno automaticamente a qualsiasi telefono cellulare, tablet o computer che ne faccia richiesta, senza eseguire alcuna verifica o autenticazione.
Nella seguente prova di concetto, il framework BtleJuice e due dongle BLE sono stati utilizzati per replicare un attacco MitM tra un utente e Jive. In questo scenario simulato, un utente malintenzionato prende prima il controllo di un Jive, a cui può essere collegato direttamente a causa della sua mancanza di autenticazione, quindi annuncia un dispositivo Jive fittizio, che viene configurato in base alle informazioni annunciate dal Jive originale. Successivamente, quando l'utente decide di connettersi al giocattolo, il dispositivo dell'utente si connette effettivamente al dispositivo falso pubblicizzato dall'aggressore. L'aggressore può quindi, tramite l'interfaccia web BtleJuice, catturare tutti i pacchetti inviati dall'utente e destinati al giocattolo e ottenere così informazioni sulle modalità di utilizzo, intensità della vibrazione, ecc. L'aggressore può anche modificare i comandi intercettati, cambiando la modalità di vibrazione o l'intensità o generare i propri comandi e inviarli al giocattolo, anche se l'utente non sta interagendo con esso.
Nel caso del dispositivo Jive, questi rischi sono aumentati dal fatto che si tratta di un dispositivo indossabile, progettato per consentire all'utente di indossarlo durante la giornata, in ristoranti, feste, hotel o in qualsiasi altro luogo pubblico.
Altri problemi di privacy
Per quanto riguarda le applicazioni che controllano questi giocattoli (Lovense Remote e We-Connect), sono state riscontrate alcune scelte progettuali controverse che potrebbero minacciare la privacy degli utenti. Questo potrebbe essere molto pericoloso, dal momento che molti utenti concedono il controllo dei propri dispositivi a completi estranei condividendo i propri token online, sia come preferenza personale che come parte di un servizio "cam girl / boy".
In Lovense Remote, non c'era la crittografia end-to-end, gli screenshot dello schermo non erano disabilitati, l'opzione "elimina" nella chat non cancellava effettivamente i messaggi dal telefono remoto e gli utenti potevano scaricare e inoltrare contenuti da altri senza preavviso inviato al creatore del contenuto. Inoltre, ogni indirizzo e-mail è condiviso tra tutti i telefoni coinvolti in ciascuna chat ed è archiviato in testo normale in molte posizioni, come il file delle preferenze condivise wear_share_data.xml. Pertanto, gli utenti malintenzionati potrebbero trovare gli indirizzi e-mail associati a un determinato nome utente e viceversa.
Infine, Lovense Remote non implementa il pinning del certificato per gli aggiornamenti del firmware; e poiché le chiavi di decrittografia sono archiviate nel codice dell'app, sarebbe relativamente semplice per un utente malintenzionato creare uno script per intercettare i pacchetti e reindirizzare la vittima all'URL dannoso dell'aggressore per scaricare un falso aggiornamento del firmware.
Nell'app We-Connect, i metadati sensibili non venivano rimossi dai file prima che venissero inviati, il che significa che gli utenti potrebbero aver inviato inavvertitamente informazioni sui propri dispositivi e sulla loro esatta geolocalizzazione durante il sexting con altri utenti.
Conclusioni
I giocattoli sessuali intelligenti stanno guadagnando popolarità come parte del concetto di "sessuologia": una combinazione di sesso e tecnologia. Gli ultimi progressi nel settore includono modelli con funzionalità VR (realtà virtuale) e robot sessuali basati sull'intelligenza artificiale che includono telecamere, microfoni e funzionalità di analisi vocale basate su tecniche di intelligenza artificiale. In effetti, si potrebbe dire che l'era dei giocattoli sessuali intelligenti è appena iniziata.
Come con qualsiasi altro dispositivo IoT, non esiste una soluzione a prova di proiettile per valutare e proteggere i giocattoli sessuali intelligenti. Poiché la protezione dei dati dipende in gran parte dalle migliori pratiche adottate dagli utenti finali, diventa una priorità educare i consumatori sui rischi per la sicurezza e la privacy associati a questi giocattoli per adulti.
Inoltre, le app mobili come queste app per il controllo di giocattoli sessuali intelligenti gestiscono informazioni molto preziose dai loro utenti. È fondamentale che gli sviluppatori comprendano l'importanza di dedicare il tempo e gli sforzi necessari per progettare e creare sistemi sicuri, senza soccombere alle pressioni del mercato che privilegiano la velocità sulla sicurezza. Trascurare la corretta configurazione dell'ambiente di produzione a favore di una rapida distribuzione non dovrebbe mai essere un'opzione.