事情是这样的。
国外的一个叫「pentestpartners」网络安全团队,发现一款智能成年人用品,有重大安全隐患。
嗯哼,就是这个玩意儿。
机哥也不知道它的用途,不过,这并不是重点。
重点是,这个安全隐患,有点滑稽。
作为一款智能 XX 用品,远程遥控是必备技能之一。
但问题就出现在这个远程遥控功能上。
起初,安全团队认为这款智能产品,只能通过远程开关,看着有点不安全。
就像你家里的智能门锁,再怎么智能,都会给你配上实体钥匙,以防不时之需。
但是,这款产品,真的就只能通过远程遥控进行开关,没有配备任何的实体解锁方法。
通过监控它的 App 发现,里面的 API 接口无需认证,就可以直接使用。
嗯哼,这看着有点懵圈,其实道理很简单。
例如,我们要把锁给关上,就得向服务器发送一段命令。
大概就是这样。
其中,「?????」就是你的智能设备唯一 ID,就像身份证一样。
填上你的 ID ,点击回车后,就能执行各种操作。
但是,怎么证明这个智能设备ID就是你本人,这个才是重点。
一般来说,执行这种操作前,都会有一个验证的操作。就像你去网吧的时候,你递出身份证,店家还得核对本人跟身份证照片是否相符。
但是嚯,这个羞羞的智能设备,恰恰少了这一步“验证”的操作。
只要知道 ID,不用验证,直接就能操作。
So,那叫那一个尴尬呀。
机哥随手打开了一个链接,海那边正在使用玩具的一个用户,就莫名被接管后续操作。
没完,这只是开胃菜。
这个 App 的漏洞实在太多,你甚至能找到双方的 ID,姓名,手机号码,用户名,明文密码等敏感数据。
这可是把用户的敏感数据,暴露得底朝天,一点都不剩。
远程操控某个人的设备,那就跟吃饭一样简单。
而且,这个 App 本身有一个实时位置反馈,就像地图一样。
这个漏洞,还能找到使用者的坐标位置。
So,简单来说,通过这个安全漏洞,已经无敌。甚至,还能把设备永久锁定,任何人都不能解开。
其实到这里,精彩才刚刚开始。
机哥翻阅了很多资料,发现这个漏洞在今年 4 月份的时候,已经由另外一位叫「RenderMan」的安全专家提出过。
RenderMan 还提醒,不仅仅是上面那一个 XX 用品有问题,这个公司旗下的另外两款 XX 用品,也有被黑的风险。
上面的那玩意儿,如果被黑,最糟糕的情况就是打不开,但是另外两款可是要“人命”的。
一个是跟古代刑具类似的。。
另一个则有电击效果。。
到这里,机哥才发现,这居然是一家国内厂家。
机哥搜了一下相关的评价,发现这货的问题还真不少,大部分都是反映被锁死。
突然失灵,然后锁死。
打不开了。。
这位用户甚至找到了客服,但给出的建议是暴力拆解。
Emmm,弄得好重获自由,弄不好男子医院。。。
这位朋友感觉是吃了大力水手的菠菜,徒手就拆开了。
至于力气没那么大,这位买家给出惨痛的教训。
Emmm,就连客服也承认有问题,建议换货。
当然,「pentestpartners」团队第一时间就这些漏洞报告给厂商,倒是厂商的答复,让机哥哭笑不得。
真的,在收到这个漏洞报告的时候,他们就回复了一个字,cool!
后面厂商回复说,相关的问题,将会在 6 月 6 号的版本中修复。
在 6 月 11 号,安全团队发现他们上架了新版的 App。
不过,新版的 App 虽然加入了新的 API 验证,但是旧的 API 依然能用。
简单来说,厂商加入了新的,而且附带验证的 API,安全程度大大提升;但是旧的 API 并没有关闭,还是依然能使用。也就是说,还是会有被黑的风险。
安全团队把这个发现也反馈给厂商了。
6 月 25 号,安全团队收到了最终答复。
我们现在只有 5 万美元了,实在经不起折腾,所以我们不打算去搞了。
哈?这是什么鬼啊?
后面安全团队也有和厂商继续联系,并且发现重置密码方面,也存在着漏洞。
然而就在 10 月份,真有黑客攻击了,厂商这时候才如梦初醒,赶紧修复漏洞。
果然,要等到出事之后,才感到后怕的啊。
现在的你,还敢随意买羞羞智能小玩具么?