TL;DR
- Inteligentní Bluetooth mužské cudnosti zámek, který je určen pro uživatele, dát dálkové ovládání k důvěryhodné 3. stran pomocí mobilní aplikace/API
- Více API chyby, znamenalo by někdo mohl vzdáleně uzamknout všechna zařízení a uživatelům zabránit uvolnění sami
- Odstranění pak vyžaduje úhlu mlýnku na maso nebo podobné, používá se v blízkosti takových památek, jemné a citlivé oblasti
- Přesné poloze uživatele data také unikly API, včetně osobní informace a soukromé chaty
- Prodejce zpočátku reagovat, pak minul tři sanace termíny budou stanoveny sebe více než 6 měsíců období
- nakonec odmítl komunikovat dál, i když většina otázek byla vyřešena v přechodu na API v2, ale API v1 neomluvitelně nechal k dispozici
- Tento příspěvek je publikován ve spolupráci s Internet Dongs
- 27/01/2021 Se stát, že mobilní a API problémy již byly vyřešeny.
Inteligentní hračky pro dospělé a nás
Jsme nenapsal o chytré hračky pro dospělé na dlouhou dobu, ale Qiui Spoluvězně chastity cage byl prostě příliš zajímavé projít. Byli jsme upozorněni na zařízení cudnosti pro dospělé, určené k uzamčení přívěsku nositele.
Existují i jiné mužské cudnosti zařízení k dispozici, ale to je Bluetooth (BLE) povolena zámku a svorky typ mechanismu se společníkem mobilní aplikace. Myšlenka je, že nositel může dát kontrolu nad zámkem někomu jinému.
nejsme v podnikání zlomu hanba. Lidé by měli mít možnost používat tato zařízení bezpečně a bezpečně bez rizika úniku citlivých osobních údajů.
bezpečnost pole teledildonics je zajímavá sama o sobě. Stojí za zmínku, že prodej chytrých hraček pro dospělé se během nedávného uzamčení výrazně zvýšil.
jaké je riziko pro uživatele?
zjistili jsme, že vzdálení útočníci mohou zabránit otevření zámku Bluetooth a trvale zablokovat uživatele v zařízení. Neexistuje žádné fyzické odemknutí. Trubice je uzamčena na prstenci nošeném kolem základny genitálií, takže věci jsou nepřístupné. Úhlová bruska nebo jiný vhodný těžký nástroj by bylo nutné snížit nositele zdarma.
místo, heslo prostého textu a další osobní údaje byly také unikly, bez nutnosti autentizace, API.
během procesu zveřejňování jsme měli zvláštní problémy, protože bychom obvykle požádali dodavatele, aby odstranil netěsné API během implementace sanace. Každý, kdo v současné době používá zařízení, když bylo rozhraní API offline, by však byl také trvale uzamčen!
jak uvidíte v časové ose zveřejnění v dolní části tohoto příspěvku, některé problémy byly odstraněny, ale jiné nebyly a prodejce jednoduše přestal odpovídat nám, novinářům a maloobchodníkům. Vzhledem k triviální povaha najít některé z těchto problémů, a že společnost pracuje na dalším zařízení, které představuje ještě větší potenciál fyzické poškození („vnitřní“ cudnosti zařízení), máme se cítil nucen publikovat tyto výsledky v tomto bodě.
problémy
zde jsme redigovali významné podrobnosti.
Mobilní aplikace
Jsme našli vážné soukromí zranitelnosti velmi rychle díky mobilní aplikaci: všechny API endpointy byly neověřené pouze pomocí dlouho-ish „memberCode“, aby se požadavky. Samotný memberCode je poněkud deterministický a je založen na datu, kdy se uživatel zaregistroval do služby, našli jsme však ještě jednodušší způsob použití kratšího „kódu přítele“.
žádost s tímto šestimístné „přítel“ kód se vrátil obrovské množství informací o uživateli, včetně velmi citlivé informace, jako je jejich jméno, telefonní číslo, narozeniny, přesné souřadnice, kde aplikace byla otevřena, jejich delší „memberCode“ hodnoty, a uživatel je plaintext heslo (ne, že to potřebujeme).
útočníkovi by netrvalo déle než pár dní, aby exfiltroval celou databázi uživatelů a použil ji k vydírání nebo phishingu.
Čísla a unikly údaje o poloze
Jsme byli schopni vzorku pár IDs náhodně, zobrazující uživatele místech v době aplikace registrací. Mějte na paměti, že se jedná pouze o malou podmnožinu uživatelů z dostupných dat. Veškeré osobní údaje jsme okamžitě zahodili.
memberCode data = DoS pro uživatele
Teď máme delší memberCode můžeme načíst všechny zařízení spojené s touto osobou:
GET /list?memberCode=20200409xxxxxxxx HTTP/1.1Host: qiuitoy.comConnection: close "deviceId": 0, "deviceCode": "201909xxxxxxxxxx", "deviceName": "Cellmatexxxx", "deviceNick": "Cellmatexxxx", "deviceNumber": "QIUIxxxxxxxxx", "deviceType": 2, "deviceBlue": null, "deviceBlueAddr": "F9:34:02:XX:XX:XX", "isEncrypt": 1,
A jakmile to budeme mít, můžeme zjistit, jaké oprávnění ta osoba má více než ten zámek (takže mohou odemknout sami, nebo požádat někoho jiného):
GET /wear?memberCode=20200409xxxxxxx&deviceCode=20191204xxxxxx HTTP/1.1Host: qiuitoy.com
A pokud mohou, můžeme otočit tak, že jsou nyní zamčené zařízení:
POST /binding HTTP/1.1Host: qiuitoy.comConnection: closememberName=Pwned&memberCode=20200409xxxxxx&deviceCode=20191204xxxxxx
A to můžeme udělat všichni, a to velmi rychle, zamykání všichni dovnitř, nebo ven. Neexistuje žádná funkce nouzového přepsání, takže pokud jste zamčeni, není cesta ven. To může nebo nemusí být považováno za funkci!
problémy s BLE
samotná implementace BLE vyžaduje požadavek API pro generování příkazu pro odemknutí na základě tokenu, který byl dříve zapsán do zámku. Je možné, že můžeme analyzovat požadavky a odpovědi generovat správný klíč, nebo reverzní inženýr zámek hardware sám o sobě…
výše uvedené je převzat z rozložit aplikace pro Android, a hákování to s Frida můžeme vidět upozorní (36f6) a píše (36f5) spojené s kontrola úrovně nabití baterie první, a pak odemknout (třetí zápis):
BluetoothGattCallback constructor called from com.apicloud.uzble.AndroidBle$2 UUID: 000036f5-0000-1000-8000-00805f9b34fb data: 0x56f3430769ddd6e1603xxx UUID: 000036f6-0000-1000-8000-00805f9b34fb data: 0xe01012b3074d111c98bxxx UUID: 000036f5-0000-1000-8000-00805f9b34fb data: 0x25f8a92325fd9cfc7ea79xxx UUID: 000036f6-0000-1000-8000-00805f9b34fb data: 0x2717dd996ab4a017a6ceexxx UUID: 000036f5-0000-1000-8000-00805f9b34fb data: 0x9ee90373a2d3f156b3557xxx UUID: 000036f6-0000-1000-8000-00805f9b34fb data: 0xbcdaea06fa1cb94f3f1c2596xxx UUID: 000036f5-0000-1000-8000-00805f9b34fb data: 0x9ee90373a2d3f156b3557d52xxxx UUID: 000036f6-0000-1000-8000-00805f9b34fb data: 0xc04dab04c54c818d808a78c79adef839
ale počkejte, že hex z aplikace pro Android a vlastnosti BLE vypadají strašně povědomě. Je to přesně stejná implementace jako Nokelock, na kterou jsme se podívali, kromě inzerovaného názvu zařízení je „OKGSS101“.
šifrovací klíč per lock AES je vrácen v volání API se seznamem zařízení, která jsme provedli dříve. Masové odemykání přes BLE někdo?
zamčeno? Tady je řešení
Pokud se ocitnete zamčené v, asi se divíte, jak se můžete dostat ven bez těžkých nástrojů nebo návštěvu pohotovosti.
konstrukce blokovacího čepu používá motor stáhne, a bohužel není ze železných kovů, takže žádné snadné použití magnetů, ani je „narážela“ to otevřít (jak budete mít na sobě). Měl jsem malý úspěch s podložkou vyrobenou z řezané plechovky, ale myšlenka ostrého špičatého kovu poblíž něčeho důležitého není ideální.
„lepší“ alternativou je musíte vypáčit desku oblasti, kde přední tlačítko a světlo je:
je To lepené, ale vyšel bez velkého úsilí nebo poškození. 3 volty (dvě AA baterie) aplikován na bílé a žluté dráty je dost řídit odemknout motor přímo (bílá = negativní, žlutá = pozitivní), technika známá jako „obohacení“.
vaše místní pohotovostní oddělení bude pravděpodobně mít správné nástroje pro bezpečné řezání kovu a bude vaším lepším prvním přístavem!
závěr
pro realistickou hrozbu se zdá, že riziko úniku osobních údajů je pravděpodobnější, že bude zneužito a poskytne útočníkovi odměnu.
řada zemí má represivní zákony, které mohou vystavit uživatele těchto typů zařízení neopodstatněnému zájmu ze strany donucovacích orgánů a fanatiků.
dále uživatelé pravděpodobně budou chtít udržet svůj soukromý život v soukromí. Ve výchozím nastavení by měli očekávat soukromí a bezpečnost. Pokud někdo chce sdílet velmi soukromé informace, pak by to mělo být výslovným záměrem uživatele.
mnoho prodejců hraček pro dospělé v posledních letech prokázalo téměř úplné ignorování soukromí a bezpečnosti. Naštěstí projekty, jako je Internet Dongs, pomohly mnoha lidem vést ke zlepšení bezpečnosti. Je zřejmé, že Qiui nedostal zprávu.
Časová osa zveřejnění
zveřejnění nebylo tak bezproblémové, jak jsme původně doufali:
20. Dubna 2020: zaslali jsme jim zprávy s dotazem, komu mají problém nahlásit. Odpověděli velmi rychle. Super!
Žádný problém, tak jsme to zkusili znovu, aniž PGP:
Tak jsme poslali detaily. Vládlo ticho.
26. května 2020: tlačili jsme trochu tvrději, odpověděli a uvedli, že opraví do 6.června.
11/06/2020: aktualizovaná verze byla nasazena do App & Play obchody. To většinou vyřešilo problémy s požadavky, které jsou nyní nuceny k ověření. Starší koncové body API však zůstaly, a nová rozhraní API stále vracela přesná umístění uživatelů.
17. června 2020: poslali jsme zprávu s podrobnostmi o zbytkových problémech, bez odpovědi.
25. června 2020: Oslovili jsme znovu, prostřednictvím novináře, Qiui řekl, že nechtějí opravit (nebo nemohli), protože“ jen “ měli $ 50,000 .
30. června 2020: poslali jsme následný e-mail (a twitter DM) s možnými opravami zbývajících problémů(a pro případ, že by byl přeložen do čínštiny), bez odpovědi.
10. července 2020: kontaktovali jsme dva britské prodejce zařízení, abychom je informovali o problémech. Jeden jej stáhl z prodeje a navázal kontakt s velkoobchodníky se sídlem v EU. Qiui odpověděl maloobchodníkům, že zbývající problémy budou opraveny „v srpnu“.
11. září 2020: RenderMan z @InternetOfDongs se s námi také spojil: pomohl jinému výzkumníkovi prostřednictvím procesu zveřejnění s Qiui. @MikeTsenatek našel problém s resetováním hesla nezávisle a také se snažil slyšet prodejce. Náhodou si před časem všiml mého tweetu, usoudil, že bychom se mohli dívat na toto zařízení, a natáhl se.
měli jsme spolu skvělý hovor, kde jsme si vyměnili pozoruhodně podobné zkušenosti s interakcemi s Qiui! Jeho zápis je k dispozici zde.
zesílené naše rozhodnutí zveřejnit: jasně ostatní byli pravděpodobně najít tyto otázky nás nezávislé, takže veřejném zájmu případ byl vyroben v našich myslích.
RenderMan si rozhodně zaslouží slávu za své pokračující úsilí zprostředkovat rozhovory mezi výzkumníky a prodejci v aréně hraček pro dospělé. Někteří prodejci učinili významné zlepšení jejich bezpečnosti výrobků a soukromí v důsledku jeho tvrdé práce.
4. Října 2020: kontaktoval nás třetí výzkumný pracovník s podobnými obavami.
6. Října 2020: zveřejnili jsme v koordinaci s ostatními stranami.
aktualizace 27/01/2021
Evropský distributor Qiui nás požádal o poskytnutí aktualizace tohoto blogu s ohledem na vývoj. Kontaktovali nás 28. prosince s vysvětlením, že problém byl s mobilní aplikací. To nebylo naše chápání, vzhledem k výše uvedeným bezpečnostním problémům jsou v API.
každopádně jsme o to požádali a 3. strana nám poslala zprávu o testu pera z mobilní aplikace .
zpráva byla jasně mobilní aplikace a učinila řadu doporučení.
vrátili jsme se k distributorovi a požádali jsme o kopii zprávy o testu pera API.
to přišlo 19.ledna. Byla zaznamenána řada dalších problémů, výsledek plně autorizovaného testu pera,ke kterému jsme během našeho původního výzkumu neměli povolení.
uvádějí, že problémy s mobilními zařízeními a API byly nyní vyřešeny.