Vibratissimo の「Panty Buster」は、女性の日常生活の中で「目立たず目に見えない」喜びの瞬間を提供すると宣伝されています。パンティー内のクリトリスに装着し、アプリを介して遠隔操作できます。 100 種類の振動プログラムから選択でき、必要に応じて独自のリズムを作成し、アプリ経由で友達と共有することもできます。画像ギャラリーも共有でき、ビデオチャットもアプリに統合されています。
SEC Consult 社のセキュリティ研究者 Werner Schober は、ザンクト ペルテン応用科学大学の修士論文の一環として、Vibratissimo の「Panty Buster」と関連アプリを分析し、特に個人のプライバシーに関連するいくつかの深刻なセキュリティ脆弱性を発見しました。データ保護は重要な役割を果たします。
顧客データベースはオンラインで自由にアクセス可能
Schober 氏は、Vibratissimo の顧客データベースは、既存の「.DS_STORE」データベース ファイルと「phpMyAdmin」インターフェイスを使用して簡単にクラックできることを発見しました。これは、すべての Vibratissimo アプリ ユーザーの保存データ全体を表示できることを意味します。
「パンティ バスターズ」の場合、これは、ユーザー名に加えて、タイムスタンプや内容を含むチャット履歴、および平文で保存されたパスワードも、ユーザー自身が撮影したすべての露骨な画像ギャラリーにアクセスできることを意味します。そして送った。友人リストやユーザーに関するすべての情報 (本名、住所など) を照会することも可能でした。
メーカーの対応が早い
SEC Consult は、2017 年 11 月にドイツの現地 CERT チームを通じてこれらの深刻なセキュリティ問題について、ドイツの企業 Amor Gummiwaren GmbH に属するメーカー「Vibratissimo」に通知し、データベースへのアクセスを伴うファイルが可能になったというフィードバックも受け取りました。翌日には削除されました。これは、SEC Consult の「セキュリティ勧告」から明らかになりました。これは、Vibratissimo ユーザーの機密の個人データへのアクセスが不可能になったことを意味します。
しかし、理論的には、アプリのダウンロード数によれば、6桁の人数が影響を受けており、Vibratissimoのアプリを使用した人は誰でも自分の安全のために予防策を講じる必要があります。 「ユーザーデータが第三者によって盗まれたという証拠や情報はメーカーから得られていません。セキュリティ上の理由から、アプリのパスワードは必ず変更する必要があります。ユーザーがベストプラクティスの推奨に反して他のサービスでも同じパスワードを使用している場合は、そこでも変更する必要があります」と SEC Consult の Johannes Greil 氏はアドバイスします。
セキュリティ上の脆弱性としての Bluetooth 接続
しかし、セキュリティ研究者が「責任ある開示」プロセスの一環として発見し、メーカーに報告した問題はこれだけではありませんでした。 「パンティバスター」とアプリを接続するにはBluetooth接続が必要です。ここでは、大人のおもちゃアプリの他の多くのメーカーと同様に、このメーカーは安全ではない「ペアリングなし」の亜種に依存しています。これは、バイブレーターの範囲内にいる人は誰でもバイブレーターに接続して、リモートで制御できることを意味します。
セキュリティ研究者の観点からは、これはプライバシーの侵害に相当しますが、CERT および製造元とのコミュニケーションの過程で、これは「機能」と見なすこともできることが明らかになりました。メーカーによると、スインガークラブに行く人は意識的にこのオプションをオープンにしておきたいと考えています。 「この機能を認識しているユーザーのグループはかなり少数であり、大多数のユーザーは自分の大人のおもちゃが誰でも遠隔操作できることを認識していないと考えています」と、これについて SEC Consult のブログに投稿されています。
アップデートは出荷後にのみ可能
SEC Consult とのコミュニケーションに基づいて、メーカーはこれについても改善を提供することを決定しました。ただし、「パンティバスター」をご購入のお客様は端末をお送りいただく必要がございます。ブログエントリには、ここではリモート更新は不可能であると記載されています。安全なパスワードのペアリングは、新製品では「オプトイン」として提供されます。 「IT セキュリティの観点からは、その逆であるべきです。オプトアウト機能です。」
アプリ自体には他にもセキュリティ上の問題がいくつかありましたが、実際に悪用するのがより難しいため、研究者らはそれらを全体的に「それほど重要ではない」と分類しました。たとえば、友人と交換する際に必要な「固有ID」は汎用的な配列が使用されているため、簡単に推測できます。
セキュリティ上の脆弱性のある大人のおもちゃ
データ保護とプライバシー問題を巡るセキュリティ上の欠陥が発見された大人のおもちゃは「パンディバスター」が初めてではない。米国では、バイブレーターのアプリがデバイスの温度や使用された振動モードに関する情報を記録し、メーカーに送信したため、メーカーの We-Vibe が総額 375 万米ドルの損害賠償を支払わなければなりませんでした。大人のおもちゃメーカーであるLovesenseのアプリが、ユーザーの知らないうちに行為の音声ファイルをスマートフォンに保存していたことが摘発された。しかし、Svakom Siime Eye 社のスマート ディルドを使用すると、見知らぬ人が内蔵カメラの画像を見ることができました。
———-
これも興味深いかもしれません:
- Pornhubの大人のおもちゃもインタラクティブになりました
- オランダの新興企業、アプリとブロックチェーンを介してセックスの同意を計画
- AIがフェイクポルノを作成するとき
———-
プライバシーは維持されなければなりません
「安全性テストを繰り返すことで、メーカーはこれらの製品の安全性レベルを高めることができます」とグレイル氏は言います。 mirai.click のインタビューに応じた他のセキュリティ研究者の発言によると、他の業界とは対照的に、大人のおもちゃのメーカーは問題に真剣に取り組み、最も深刻な問題を比較的迅速に解決しているようです。ショーバー氏もこの経験があり、修士論文の一環として他のメーカーや製品についての調査を続ける予定です。したがって、大人のおもちゃ業界がユーザーのプライバシーを真剣に考慮してくれることを祈るばかりです。
この記事は、mirai.click に初めて掲載されました。