Уязвимость в подключенных к интернету мужских поясах верности позволяет посторонним удаленно управлять гаджетом, в том числе блокировать его, лишая носящего возможности его снять.

Речь идет об устройстве Cellmate Chastity Cage от китайской компании Qiui, представляющем собой современный аналог средневековому поясу верности, управлять которым (блокировать и разблокировать) можно с помощью мобильного приложения. Однако, как выяснили специалисты компании Pen Test Partners, в приложении есть уязвимости, позволяющие любому желающему удаленно блокировать гаджет.

Поскольку возможность снятия вручную (с помощью физической кнопки или ключа) в поясе не предусмотрена, в случае блокировки освободиться от него можно, разрезав стальную скобу с помощью резьбонарезного станка или угловой шлифовальной машины. Однако проблема усугубляется тем, что стальная скоба плотно прилегает к гениталиям.

Специалисты Pen Test Partners нашли еще один способ снятия заблокированного гаджета. Он заключается в перегрузе печатной платы, контролирующей мотор замка, путем подачи на нее 3 вольт электричества (примерно две батарейки AA).

Уязвимости связаны с API, используемым для связи между поясом верности и мобильным приложением. С их помощью злоумышленники могут не только удаленно управлять устройством, но и получить доступ к пользовательской информации, включая данные о местоположении и пароли.

Несмотря на серьезность проблемы, производитель не спешит ее исправлять. Специалисты связались с Qiui в апреле нынешнего года и быстро получили ответ. Однако, как оказалось, компания исправила ее не полностью, и больше не отвечала на электронные письма Pen Test Partners.

Дело в том, что Qiui оказалась в затруднении. Если компания полностью отключит старый API, уязвимость будет исправлена, но в таком случае пользователи, не обновившие приложение, могут оказаться заблокированными. Однако если оставить исходную версию API, старые версии приложения останутся уязвимыми.

https://www.securitylab.ru/news/512833.php