成人用品制造商Lovense被曝可远程控制玩具的安全漏洞

快速阅读: 据《IT之家 – 电脑频道》称，7月29日，安全研究员BobDaHacker披露成人用品制造商Lovense存在严重安全漏洞，可能导致用户账户被远程接管，进而非法控制连接互联网的成人用品。BobDaHacker于3月发现此漏洞并通过HackerOne平台报告，获得3000美元奖励。Lovense称已在6月底修复漏洞，但BobDaHacker认为问题未完全解决。

7月29日，安全研究员BobDaHacker对外披露了成人用品制造商Lovense存在的严重安全漏洞。该漏洞可导致用户账户被远程接管，进而对连接互联网的成人用品实施非法控制，可能对用户造成实际伤害。

BobDaHacker透露，他在今年3月首次发现了这一问题，并通过HackerOne平台向公司报告了漏洞，因此获得了3000美元的奖励。然而，Lovense方面声称需要14个月的时间来解决这些问题，BobDaHacker对此表示质疑，遂按照业内90天披露原则，在漏洞上报满90日后公开了详细情况。

具体来说，该漏洞包括两部分：

一是泄露用户的真实邮件地址。BobDaHacker发现，通过分析网络流量，无需成为好友即可获取对方的电子邮件地址。即使使用了随机字符作为用户名，只要掌握一定的网络技术，便能够轻易地追踪到账户持有者的电子邮箱，进一步锁定其真实身份。此外，这一过程还可以编写成自动化脚本，不到1秒即可完成陌生用户的邮箱捕获。

二是接管账户并控制玩具。一旦黑客获取了用户的电子邮件地址，便可利用该漏洞生成身份验证令牌，无需密码或其它认证步骤即可登录Lovense账户。若目标用户的成人用品已连接至互联网并与Lovense账户绑定，则攻击者能够远程操控设备，给用户带来潜在威胁。

针对上述指控，Lovense的媒体代表昨日回应称，所有相关漏洞已在6月底得到彻底修复，预计下周将向全体用户推送更新补丁。不过，BobDaHacker认为，该公司可能并未如实解决问题，因为这些漏洞依旧可以被复现。

(以上内容均由Ai生成)