Bağlı seks oyuncak platformu Lovense, bir saldırganın sadece kullanıcı adlarını bilerek, doxxing ve taciz riskine girerek bir üyenin e-posta adresine erişmesini sağlayan sıfır günlük bir kusura karşı savunmasızdır.
Lovense, Lush, The Gush ve belki de en cesurca Kraken gibi isimlerle uygulama kontrollü seks oyuncakları ürettiği bilinen etkileşimli bir seks oyuncak üreticisidir. Şirket dünya çapında 20 milyon müşteriye sahip olduğunu iddia ediyor.
Lovense oyuncakları hem yerel hem de uzun mesafeli eğlence için yaygın olarak kullanılırken, izleyicilerin oyuncaklarının uzaktan kumandası için ipucu vermesine veya abone olmasına izin veren CAM modelleri arasında popülerdir.
Bununla birlikte, bağlı deneyim de sevgi kullanıcı adlarını ortaya çıkarabilir ve bu kusur nedeniyle özel e -posta adreslerini potansiyel olarak ortaya çıkarır.
Lovense kullanıcı adları genellikle forumlarda ve sosyal medyada herkese açık olarak paylaşılır ve bu da onları saldırganlar için kolay hedefler haline getirir.
Kusur, uygulamayı tersine çevirmek ve saldırıyı otomatikleştirmek için araştırmacılar Eva ve Rebane ile işbirliği yapan güvenlik araştırmacısı Bobdahacker tarafından keşfedildi.
Araştırmacılar, 26 Mart 2025’te dört ay önce iki kusur açıkladılar. Ancak, daha sonra kritik bir hesaptan kaçan kusurlardan sadece biri düzeltildi.
Lovense kusurları
Güvenlik açığı, Lovense’in kullanıcılar arasındaki iletişim ve platformun arka ucu için kullanılan XMPP sohbet sistemi arasındaki etkileşimden kaynaklanmaktadır.
Bobdahacker’ın raporu, “Bu yüzden Lovense uygulamasını kullanırken ve birini sessizleştirdiğimde her şey başladı. İşte bu kadar. Sadece onları sessizleştirdi.”
“Ama sonra API yanıtını gördüm ve … bekle, bir e -posta adresi mi? Neden orada? Daha derine indikten sonra, herhangi bir kullanıcı adını e -posta adreslerine nasıl dönüştüreceğimi anladım.”
Kusurdan yararlanmak için bir saldırgan, /api/wear/genGtoken API uç noktası, bir GTOKE (kimlik doğrulama jetonu) ve AES-CBC şifreleme anahtarlarını döndüren kimlik bilgileriyle.
Saldırgan daha sonra herkese açık olarak bilinen Lovense kullanıcı adını alır ve alınan şifreleme anahtarlarını kullanarak şifreler. Bu şifreli yük, /app/ajaxCheckEmailOrUserIdRegisted?email={encrypted_username} API uç noktası.
Sunucu, araştırmacının Lovense’in XMPP sunucusu tarafından kullanılan sahte bir Jabber kimliğine (JID) dönüştüğü sahte bir e -posta adresi içeren verilerle yanıt verir.
Bu sahte JID’yi XMPP iletişim listesine ekleyerek ve XMPP (bir arkadaşlık isteğine benzer) üzerinden bir varlık aboneliği göndererek, saldırgan şimdi hem sahte JID’yi hem de hedefin hesabıyla ilişkili gerçek olanı içeren listeyi (iletişim listesi) yenileyebilir.
Bununla birlikte, sorun gerçek JID’nin kullanıcının gerçek e -postası kullanılarak, kullanıcı adı!
Örneğin, Blewing!
Araştırmacılar, tüm sürecin bir komut dosyasıyla kullanıcı başına bir saniyeden daha kısa bir sürede tamamlanabileceğini doğruladılar. BleepingComputer bugün sahte bir hesap oluşturdu ve kullanıcı adımızı Bobdahacker ile paylaştı ve sadece bir arkadaş olarak bağlanmalarına ve kaydettiğimiz e -postayı iade etmelerine izin verdi.
Araştırmacı ayrıca, kusurdan yararlanmak için bir arkadaşlık isteğini kabul etmenin gerekli olmadığını belirtti.
BleepingComputer ayrıca, lovenselife.com gibi forumlarda ve Lovense ile ilgili sitelerde meşru kullanıcı adlarını bulmanın nispeten kolay olduğunu doğruladı.
Araştırmacı ayrıca, Lovense tarafından oluşturulan Fanberry uzantısının ve Tophy uygulamasının kullanıcı adlarını toplamak için kullanılabileceğini ve geniş ölçekli e-posta hasatını mümkün kıldığını iddia ediyor.
Araştırmacılar ayrıca bir hesabı tamamen kaçırmalarına izin veren kritik bir güvenlik açığı keşfettiler.
Yalnızca bir e -posta adresi kullanarak, bir saldırgan şifreye ihtiyaç duymadan kimlik doğrulama jetonları oluşturabilir. Bu belirteçleri kullanarak, bir saldırgan Lovense Connect, Streammaster ve CAM101 dahil olmak üzere Lovense platformlarında bir kullanıcıyı taklit edebilir.
Bu belirteçlerin yönetici hesapları üzerinde de çalıştığı bildirildi.
Lovense, Jetonları API’larında reddederek bu kusuru hafifletirken, araştırmacılar gtokenlerin hala şifre olmadan oluşturulabileceğini belirtti.
Her iki sorunun da 26 Mart 2025’te Lovense’e bildirildi. Nisan ayında, Hackerone’deki hataları da gönderdikten sonra Lovense, araştırmacılara e -posta sorununun zaten bilinen ve yaklaşan bir versiyonda sabitlendiğini bildirdi.
Şirket başlangıçta hesabı kaçırma kusurunu küçümsedi, ancak tam yönetici hesabının erişimine izin verebileceği söylendikten sonra Lovense, kritik olarak yeniden sınıflandırdı.
Toplamda, araştırmacılar kusurların açıklanması için 3.000 dolar aldı.
4 Haziran’da şirket kusurların düzeltildiğini iddia etti, ancak araştırmacılar bunun böyle olmadığını doğruladı. Lovense, Temmuz ayında hesap kaçırma kusurunu düzeltti, ancak uygulamalarının eski sürümleriyle uyumluluğu kıracağı için e -posta kusurunu çözmenin yaklaşık 14 ay süreceğini belirtti.
Lovense araştırmacıya, “Yaklaşık on ay sürecek uzun vadeli bir iyileştirme planı başlattık, tam bir çözüm uygulamak için en az dört ay daha gerekli.” Dedi.
Diyerek şöyle devam etti: “Ayrıca daha hızlı, bir aylık bir düzeltmeyi de değerlendirdik. Bununla birlikte, tüm kullanıcıları derhal yükseltmeye zorlamayı gerektirecek, bu da eski sürümler için desteği bozacak. Bu yaklaşıma karşı daha istikrarlı ve kullanıcı dostu bir çözüm lehine karar verdik.”
Araştırmacılar, bu yanıtı eleştirdiler ve şirketin sorunların olmadığı zamanların düzeltildiğini tekrar tekrar iddia ettiğini belirtti.
Bobdahacker, “Kullanıcılarınız daha iyisini hak ediyor. Eski uygulama desteğini güvenlik üzerine koymayı bırakın. Aslında işleri düzeltin ve çalıştıklarını söylemeden önce düzeltmelerinizi test edin.”
2016 yılında, çoklu Lovense kusurları e -posta adreslerini ortaya çıkardı veya saldırganların bir e -posta adresinin Lovense’de bir muhasebe olup olmadığını belirlemelerine izin verdi.
BleepingComputer yorum için Lovense’e ulaştı, ancak bir yanıt almadı.
İşinizi etkilemeden önce gerçek zamanlı olarak ortaya çıkan tehditleri içerir.
Bulut algılama ve yanıtının (CDR) güvenlik ekiplerine bu pratik, saçma rehberde ihtiyaç duydukları avantajı nasıl verdiğini öğrenin.