安全研究员 BobDaHacker 近日公布了成人用品制造商 Lovense 的高危安全漏洞,可远程控制玩具造成实质性危害。
BobDaHacker 表示,他在 3 月时发现了这家公司的系统存在安全漏洞,随后他通过 HackerOne 平台反馈漏洞后得到了 3000 美元的奖励。
但 Lovense 后续表示,他们需要 14 个月才能修复这些漏洞。研究员并不认可这个说法,因此他按照行业惯例(90 天披露原则),在漏洞提交满 90 天后,将该公司的高危级别安全漏洞细节完全公开。
这个漏洞的具体运作方式如下:
1.泄露用户的真实邮件地址:
BobDaHacker 在使用 Lovense 的 App 时发现了其存在的漏洞,但这个漏洞较为低级,任何使用网络分析工具的用户都可以看到与之交互的用户的电子邮件地址(不需要添加好友)。
研究员使用了账户 A 和账户 B 进行举例,他借助网络分析工具抓取流量后发现,Lovense 的 App 直接将用户名与电子邮箱关联,所以即使 A 账户使用乱码名字,B 账户的持有人只要懂点网络知识就可以抓取到 A 账户持有人的电子邮箱,从而进一步定位真实身份。
甚至这种操作流程还可转化为自动化脚本,不到 1 秒就可以获取到素不相识用户的电子邮箱。
2.接管账户并控制玩具:
黑客在拿到电子邮箱地址后,借助漏洞即可创建身份验证令牌,不需要密码或其他验证方式即可直接访问 Lovense 账户。
BobDaHacker 声称,如果用户使用的成人用品联网且绑定 Lovense 账户,那么黑客就可以直接访问 Lovense 账户,进而远程控制成人用品,这可能在现实世界中造成伤害。
研究员强调,因为任何人只要知道 Lovense 账户的电子邮件地址就能接管账户并控制成人用品,所以这个漏洞危害非常大。
Lovense 的媒体发言人昨天指出:“相关漏洞已经在 6 月底完全修复,下周将向所有用户推送更新以修复漏洞”。但 BobDaHacker 对此并不买账,认为 Lovense 是在撒谎,这些漏洞仍然能复现。
你的跳蛋可能会被黑客远程控制
| 人围观 |随便看看
- 蒙起眼睛肏她 [12P]
- 美国女子在印度遭民宿员工下药强奸,老板切断网络将其
- 只要口得舒服,在哪都可以 [12P]
- 爱露出的女人,才最有味道 第一期 [125P]
- [F1]2024赛季收官战——阿布扎比大奖赛赛前指南
- 江山如此多娇,嫩逼合集,欢迎补充[30P]
- 10月15日 - 车圈大事速递
- [欧美] Kimi Nimira[28P]
- 三十年前日本人掉过的坑,中国人恐一个都逃不掉!《负动
- 不知道为什么,今天去相亲刚拿出我的车钥匙她回头就走
- [法广] 中国以“勾结台独”为由制裁日本自卫队前幕
- 6月16日,星期一,在这里每天60秒读懂世界简报!
- [写真] 穿上马甲的AV女星[44P]
- 初夏之潮喷敏感小姐姐 精简版
- [亚洲] 性感又抚媚 [28P]
- [写真] 陈佩奇辣妹日记诱惑迷人[26P]
- [写真] 陈大小姐微密圈绝妙姿势[21P]
- 老板分享的嫖妓自拍 [10P]
- [前蓝志] 一天给他开77万的工资?(2025/05/20)
- 动图GIF[56P]
- 少妇爱露出 [13P]
- [写真] 妮妮[60P]
- [亚洲] 美丽小姐[34P]
- [沙雕动画]网文读者的视觉化入口,高度工业化生产的“
- 惊见毛用餐排场 戴煌直言惹大祸
- 大二女生[20P]
- [BBC 2025-4-21]贸易战影响落地 快递巨头DHL暂停800
- 秦岭为什么那么重要
- 内容已删除
- 精心收集的鲜鲍嫩逼[22P]
- [20251218] 吃瓜吃瓜系列! [19V+1P]
- 乳房爱抚干货
- 搜集的妹子图片(一百一十三)-嫩妹[156P]
- [联合早报]投票结果显示杜特尔特几乎笃定成为达沃市
- 我想喝精液 [13P]
- [亚洲] 房间慢慢揉捏黑丝女秘,看的都上火了[20P]
- 至今思项羽,不及刘强东
- [动漫] 凤舞九天美女 [30P]