TL;Dr

• intelligens Bluetooth férfi tisztaság lock, amelynek célja a felhasználó, hogy a távirányító egy megbízható 3. fél segítségével mobil app/API
• több API hibák jelentette bárki távolról zár minden eszközt, és megakadályozzák a felhasználók felszabadító magukat
• eltávolítása, akkor szükség van egy sarokcsiszoló vagy hasonló, használt közvetlen közelében kényes és érzékeny területeken
• pontos felhasználói helyadatok is kiszivárgott API, beleértve a személyes adatokat és privát beszélgetések
• szállító kezdetben reagáló, majd kimaradt három kármentesítési határidők ők állítsa be magát egy 6 hónap alatt időszak
• majd végül megtagadta a további interakciót, annak ellenére, hogy a problémák többsége megoldódott a v2 API-ra való áttérés során, az API v1 mégis megbocsáthatatlanul elérhető maradt
• ez a bejegyzés a Dongok internetével együttműködve jelenik meg
• 27 / 01 / 2021 azt állítják, hogy a mobil és az API problémák már megoldódtak.

Smart adult toys and us

hosszú ideje nem írtunk az intelligens felnőtt játékokról, de a Qiui Cellmate chastity ketrec egyszerűen túl érdekes volt ahhoz, hogy elhaladjon mellette. Fülest kaptunk a felnőttkori szüzességi eszközről, amit arra terveztek, hogy lezárja a viselője melltartóját.

vannak más férfi tisztaság eszközök állnak rendelkezésre, de ez egy Bluetooth (BLE) képes lock and clamp típusú mechanizmus egy társ mobil app. Az ötlet az, hogy viselője másnak adhatja át a zár irányítását.

nem vagyunk az üzleti törje megszégyenítés. Az embereknek képesnek kell lenniük arra, hogy ezeket az eszközöket biztonságosan és biztonságosan használhassák anélkül, hogy érzékeny személyes adatok szivárognának ki.

a teledildonics mező biztonsága önmagában is érdekes. Érdemes megjegyezni, hogy az intelligens felnőtt játékok értékesítése jelentősen megnőtt a közelmúltbeli lezárás során.

Milyen kockázatokkal jár a felhasználók számára?

felfedeztük, hogy a távoli támadók megakadályozhatják a Bluetooth zár megnyitását, véglegesen lezárva a felhasználót az eszközben. Nincs fizikai feloldás. A csövet a nemi szervek alapja körül viselt gyűrűre rögzítik, így a dolgok elérhetetlenek. Sarokcsiszolóra vagy más megfelelő nehéz szerszámra lenne szükség a viselő szabad vágásához.

hely, egyszerű szöveges jelszó és egyéb személyes adatok is kiszivárogtak, hitelesítés nélkül, az API által.

különleges problémáink voltak a közzétételi folyamat során, mivel általában arra kérjük az eladót, hogy vegye le a szivárgó API-t, miközben a kármentesítés megvalósult. Azonban bárki, aki jelenleg használja az eszközt, amikor az API-t offline állapotba hozták, szintén véglegesen be van zárva!

amint azt a bejegyzés alján található közzétételi ütemtervben láthatja, néhány problémát orvosoltak, de másokat nem, és az eladó egyszerűen abbahagyta a válaszadást nekünk, újságíróknak és kiskereskedőknek. Tekintettel ezeknek a kérdéseknek a triviális jellegére, és arra, hogy a vállalat egy másik eszközön dolgozik, amely még nagyobb potenciális fizikai kárt okoz (egy “belső” tisztasági eszköz), úgy éreztük, hogy ezen a ponton közzé kell tennünk ezeket a megállapításokat.

A kérdések

itt jelentős részleteket szerkesztettünk.

mobilalkalmazás

a mobilalkalmazással nagyon gyorsan súlyos adatvédelmi sebezhetőséget találtunk: Az összes API-végpontot nem hitelesítették, csak egy hosszú “memberCode” használatával. Maga a memberCode kissé determinisztikus, és azon a napon alapul, amikor a felhasználó feliratkozott a Szolgáltatásra, azonban találtunk egy még egyszerűbb módszert egy rövidebb “barátkód”használatával.

ezzel a hatjegyű “Barát” kóddal ellátott kérés hatalmas mennyiségű információt adott vissza az adott felhasználóról, beleértve a nagyon érzékeny információkat, például a nevüket, telefonszámukat, születésnapjukat, az alkalmazás megnyitásának pontos koordinátáit, hosszabb “memberCode” értéküket és a felhasználó egyszerű szöveges jelszavát (nem mintha szükségünk lenne rá).

a támadónak pár napnál tovább nem tartana, hogy a teljes felhasználói adatbázist kiszűrje, és zsarolásra vagy adathalászatra használja.

számok és kiszivárgott helyadatok

néhány azonosítót véletlenszerűen tudtunk mintavételezni, bemutatva a felhasználói helyeket az alkalmazás regisztrációjakor. Ne feledje, hogy ez csak a felhasználók egy kis része a rendelkezésre álló adatokból. Minden személyes információt azonnal eldobtunk.

memberCode data = Dos a felhasználó számára

most már a hosszabb memberCode tudjuk letölteni az összes eszköz társított személy:

GET /list?memberCode=20200409xxxxxxxx HTTP/1.1Host: qiuitoy.comConnection: close "deviceId": 0, "deviceCode": "201909xxxxxxxxxx", "deviceName": "Cellmatexxxx", "deviceNick": "Cellmatexxxx", "deviceNumber": "QIUIxxxxxxxxx", "deviceType": 2, "deviceBlue": null, "deviceBlueAddr": "F9:34:02:XX:XX:XX", "isEncrypt": 1,

és ha ez megvan, akkor ki tudjuk dolgozni, hogy milyen jogosultságokkal rendelkezik az adott személy a zár felett (tehát maguk is kinyithatják, vagy meg kell kérdezniük valaki mást):

GET /wear?memberCode=20200409xxxxxxx&deviceCode=20191204xxxxxx HTTP/1.1Host: qiuitoy.com

és ha igen, akkor ezt megfordíthatjuk, hogy most már kizárják őket az eszközből:

POST /binding HTTP/1.1Host: qiuitoy.comConnection: closememberName=Pwned&memberCode=20200409xxxxxx&deviceCode=20191204xxxxxx

és ezt mindenkivel meg tudjuk tenni, nagyon gyorsan, mindenkit bezárva, vagy ki. Nincs vészhelyzeti felülíró funkció sem, így ha be van zárva, nincs kiút. Ez lehet, hogy nem tekinthető funkciónak!

BLE issues

maga a BLE megvalósítás API-kérést igényel egy feloldási parancs létrehozásához, amely egy korábban a zárra írt token alapján történik. Lehetséges, hogy elemezzük a kéréseket és válaszokat, hogy létrehozzuk a megfelelő kulcsot, vagy visszafejtjük a zár hardverét…

a fentiek a dekompilált Android alkalmazásból származnak, és a Frida-val összekapcsolva láthatjuk a bejelentéseket (36f6), és azt írja: 36f5) először az akkumulátor töltöttségi szintjének ellenőrzéséhez, majd a feloldáshoz (A harmadik íráshoz)kapcsolódik:

 BluetoothGattCallback constructor called from com.apicloud.uzble.AndroidBle$2 UUID: 000036f5-0000-1000-8000-00805f9b34fb data: 0x56f3430769ddd6e1603xxx UUID: 000036f6-0000-1000-8000-00805f9b34fb data: 0xe01012b3074d111c98bxxx UUID: 000036f5-0000-1000-8000-00805f9b34fb data: 0x25f8a92325fd9cfc7ea79xxx UUID: 000036f6-0000-1000-8000-00805f9b34fb data: 0x2717dd996ab4a017a6ceexxx UUID: 000036f5-0000-1000-8000-00805f9b34fb data: 0x9ee90373a2d3f156b3557xxx UUID: 000036f6-0000-1000-8000-00805f9b34fb data: 0xbcdaea06fa1cb94f3f1c2596xxx UUID: 000036f5-0000-1000-8000-00805f9b34fb data: 0x9ee90373a2d3f156b3557d52xxxx UUID: 000036f6-0000-1000-8000-00805f9b34fb data: 0xc04dab04c54c818d808a78c79adef839

de várj, hogy hex az Android app, és a BLE jellemzők néz szörnyen ismerős. Pontosan ugyanaz a megvalósítás, mint a Nokelock, amelyet megnéztünk, kivéve, hogy a hirdetett eszköz neve “OKGSS101”.

A per lock AES titkosítási kulcs visszaadódik az API hívásban, amely felsorolja a korábban készített eszközöket. Mass felszabadítása felett BLE bárki?

bezárva? Itt van egy megoldás

Ha úgy találja magát zárva, akkor valószínűleg kíváncsi, hogyan lehet kijutni anélkül, hogy nehéz eszközöket, vagy egy látogatás a mentők…

a design a zárócsap használ egy motor, hogy vonja vissza, és sajnos nem vas, így nem könnyű használni a mágnesek, sem a “nekimegy”, hogy nyissa ki (mint te leszel rajta). Volt egy kis sikerem egy vágott dobozból készült alátéttel, de az éles hegyes fém ötlete bármi fontos közelében nem ideális.

A “jobb” alternatíva az áramköri terület megnyitása, ahol az elülső gomb és a fény:

be van ragasztva, de különösebb erőfeszítés vagy sérülés nélkül jött ki. A fehér és sárga vezetékekre felvitt 3 volt (két AA elem) elegendő a feloldó motor közvetlen meghajtásához (fehér = negatív, sárga = pozitív), ezt a technikát “tüskésnek”nevezik.

a helyi sürgősségi osztály valószínűleg a megfelelő eszközöket, hogy csökkentsék bár a fém biztonságosan mégis lenne a jobb első kikötő!

következtetés

reális fenyegetés esetén a személyes adatok kiszivárgásának kockázatát nagyobb valószínűséggel használják ki, és jutalmazzák a támadót.

számos országban vannak olyan elnyomó törvények, amelyek az ilyen típusú eszközök felhasználóit a bűnüldözés és a bigottak indokolatlan érdeklődésének teszik ki.

továbbá a felhasználók valószínűleg meg akarják tartani a magánéletüket. Elvárják az adatvédelmet alapértelmezés szerint, a biztonságot pedig a tervezés alapján. Ha valaki nagyon privát információkat szeretne megosztani, akkor ennek a Felhasználó kifejezett szándékával kell történnie.

sok felnőtt játékgyártó az elmúlt években szinte teljes mértékben figyelmen kívül hagyta a magánéletet és a biztonságot. Szerencsére az olyan projektek, mint a Dongok internete, sokat segítettek a biztonság javítása felé. Nyilvánvaló, hogy Qiui nem kapta meg az üzenetet.

közzétételi idővonal

A közzététel nem volt olyan zökkenőmentes, mint azt eredetileg reméltük:

április 20th 2020: üzenetet küldtünk nekik, hogy megkérdezzék, kinek jelentsék a problémát. Nagyon gyorsan válaszoltak. Frankó!

nem probléma, így megpróbáltuk újra nélkül PGP:

tehát elküldtük nekik a részleteket. Csend uralkodott.

május 26th 2020: kicsit erősebben nyomtunk, válaszoltak, kijelentve, hogy június 6-ig javítják.

11/06/2020: frissített verziót telepítettek az alkalmazásba & Play áruházak. Ez többnyire megoldotta a kérések hitelesítésére kényszerített kérdéseket. A régebbi API végpontok azonban megmaradtak, az új API-k pedig továbbra is pontos felhasználói helyeket adtak vissza.

június 17th 2020: küldtünk egy üzenetet, amely részletezi a fennmaradó problémákat, válasz nélkül.

25. június 2020: ismét megkeresettük egy újságírón keresztül, Qiui azt mondta, hogy nem akarják kijavítani (vagy nem tudják), mivel “csak” 50 000 dollárjuk volt.

június 30th 2020: küldtünk egy nyomon követési e-mailt (és twitter DM) a fennmaradó problémák lehetséges javításával (és minden esetre lefordították kínaira), válasz nélkül.

10. július 2020: felvettük a kapcsolatot a készülék két brit kiskereskedőjével, hogy tudatosítsuk velük a problémákat. Az egyik visszavonta az értékesítést, és kapcsolatba lépett az uniós székhelyű nagykereskedőkkel. Qiui válaszolt a kiskereskedőknek, hogy a fennmaradó kérdéseket “augusztusban” rögzítik.

szeptember 11th 2020: A @InternetOfDongs RenderMan is kapcsolatba lépett velünk: segített egy másik kutatónak a qiui közzétételi folyamatán keresztül. @MikeTsenatek önállóan talált egy jelszó-visszaállítási problémát, és szintén küzdött, hogy meghallgassa az eladó. Véletlenül észrevett egy tweetemet egy ideje, rájött, hogy talán ezt az eszközt nézzük, és elérte.

volt egy nagy hívás együtt, ahol kicserélt rendkívül hasonló tapasztalatok kölcsönhatások Qiui! Írása itt érhető el.

ez megerősítette a közzétételre vonatkozó döntésünket: nyilvánvalóan mások valószínűleg tőlünk függetlennek találták ezeket a kérdéseket, így a közérdekű ügy a fejünkben történt.

RenderMan határozottan megérdemli a dicséretet a kutatók és a gyártók közötti beszélgetések közvetítéséért a felnőtt játék arénában. Egyes gyártók jelentős javulást értek el termékbiztonságukban és adatvédelmükben a kemény munka eredményeként.

4. Október 2020: egy harmadik kutató vette fel velünk a kapcsolatot hasonló aggodalmakkal.

6. október 2020: a többi féllel együttműködve publikáltunk.

Update 27/01/2021

a Qiui európai forgalmazója felkért minket, hogy frissítsük ezt a blogot a fejlemények fényében. December 28-án vették fel velünk a kapcsolatot, elmagyarázva, hogy a probléma a mobilalkalmazással volt. Ez nem volt a megértésünk, mivel a fenti biztonsági kérdések az API-ban vannak.

mindenesetre bizonyítékot kértünk erre, és egy 3rd párt küldött egy toll tesztjelentést a mobilalkalmazásból .

a jelentés egyértelműen a mobilalkalmazásról szólt, és számos ajánlást tett.

visszamentünk a forgalmazóhoz, és kértük az API pen tesztjelentésének másolatát.

Ez január 19-én érkezett. Számos más kérdést is megjegyeztek, egy teljesen engedélyezett tollvizsgálat eredménye,amelyre az eredeti kutatásunk során nem volt engedélyünk.

azt állítják, hogy a mobil és API problémák megoldódtak.