Братислава – уязвимости в умных секс-игрушках могут подвергнуть пользователей риску утечки данных и атак, как кибер -, так и физических, говорится в новой Белой книге глобальных экспертов по кибербезопасности ESET. Секс в цифровую эпоху - насколько безопасны умные секс-игрушки? отчет исследует потенциальные недостатки безопасности и безопасности подключенных секс-игрушек и включает в себя углубленный анализ двух популярных устройств. На фоне продолжающихся социальных ограничений из-за пандемии продажи секс-игрушек быстро выросли, и связанные с этим проблемы кибербезопасности не должны быть упущены из виду.
По мере того как новые, технологически продвинутые модели секс-игрушек выходят на рынок, включая мобильные приложения, обмен сообщениями, видеочат и веб-соединение, устройства становятся все более привлекательными и доступными для киберпреступников. Последствия утечки данных в этой сфере могут быть особенно катастрофическими, когда утечка информации касается сексуальной ориентации, сексуального поведения и интимных фотографий.
Исследователи ESET обнаружили уязвимости в приложениях, контролирующих обе исследуемые умные секс-игрушки. Эти уязвимости могут привести к вредоносных программ, которые будут установлены на подключенный телефон, прошивка должна быть изменена в игрушки, или даже устройством намеренно изменены, чтобы нанести физический вред пользователю.
Для решения этих угрозах и выяснить, как обеспечить "умные" игрушки, Есет исследователи проанализировали два бестселлера игрушки для взрослых на рынке: мы вибрируем ‘Джайв и Lovense ‘максимум’. Аналитики загрузили приложения поставщиков, доступные в магазине Google Play для управления устройствами (We-Connect и Lovense Remote) и использовали фреймворки анализа уязвимостей, а также методы прямого анализа для выявления недостатков в их реализации.
Как носимое устройство, We-Vibe Jive склонен к использованию в небезопасных условиях. Было обнаружено, что устройство постоянно объявляет о своем присутствии, чтобы облегчить соединение – это означает, что любой, у кого есть сканер Bluetooth, может найти устройство поблизости, на расстоянии до восьми метров. Затем потенциальные злоумышленники могли идентифицировать устройство и использовать силу сигнала, чтобы направить их к владельцу. Официальное приложение производителя не требуется для получения контроля, так как большинство браузеров предлагают функции, облегчающие это.
Jive использует наименее безопасный из методов сопряжения BLE, при котором временный код ключа, используемый устройствами во время сопряжения, устанавливается равным нулю, и поэтому любое устройство может подключаться, используя ноль в качестве ключа. Вибрация очень уязвима для атак "человек в середине" (MitM), поскольку непарный Джайв может автоматически связываться с любым мобильным телефоном, планшетом или компьютером, который запросит его об этом, без проведения проверки или аутентификации.
Хотя мультимедийные файлы, совместно используемые пользователями во время сеансов чата, сохраняются в личных папках хранения приложения, метаданные файлов остаются в общем файле. Это означает, что каждый раз, когда пользователи отправляют фотографию на удаленный телефон, они также могут отправлять информацию о своих устройствах и их точном геолокационном местоположении.
Макс имеет возможность синхронизации с удаленным аналогом, что означает, что злоумышленник может взять под контроль оба устройства, скомпрометировав только одно из них. Однако мультимедийные файлы не включают метаданные при получении с удаленного устройства, и приложение предлагает возможность настроить четырехзначный код разблокировки с помощью сетки кнопок, что затрудняет атаки грубой силы.
Некоторые элементы дизайна приложения могут угрожать конфиденциальности пользователя, например возможность пересылать изображения третьим лицам без ведома владельца, а удаленные или заблокированные пользователи продолжают иметь доступ к истории чата и всем ранее совместно используемым мультимедийным файлам. Lovense Max также не использует аутентификацию для BLE-соединений, поэтому MitM-атака может быть использована для перехвата соединения и отправки команд для управления двигателями устройства. Кроме того, использование приложением адресов электронной почты в идентификаторах пользователей создает некоторые проблемы конфиденциальности, поскольку адреса передаются в виде обычного текста всем телефонам, участвующим в каждом чате.
Исследователи ESET Дениз Джусто и Сесилия Пасторино предупреждают: “существуют меры предосторожности, которые необходимо принять, чтобы гарантировать, что умные секс-игрушки разрабатываются с учетом кибербезопасности, особенно из-за серьезности потенциальных опасностей. Хотя безопасность, по-видимому, не является приоритетом для большинства взрослых устройств в настоящее время, есть шаги, которые люди могут предпринять, чтобы защитить себя, например, избегать использования устройств в общественных местах или местах с проходящими людьми, таких как отели. Пользователи должны держать любую умную игрушку подключенной к своему мобильному приложению во время использования, так как это помешает игрушке рекламировать свое присутствие потенциальным субъектам угрозы. По мере развития рынка секс-игрушек производители должны постоянно помнить о кибербезопасности, поскольку каждый имеет право использовать безопасные и безопасные технологии”.
Компания «Доктор Веб» сообщает о распространении многофункционального бэкдора Android.Backdoor.916.origin для мобильных Android-устройств, который атакует представителей российского бизнеса
«Базальт СПО» выпустила операционную систему «Альт Образование» 11.0. Среди ключевых изменений — приложение «Альт Центр» для настройки и просмотра информации о системе, использование рабочего окружения KDE Plasma 6 по умолчанию и обновленные приложения
На фоне растущих угроз большинство МСП в России до сих пор не подходят к вопросам информационной безопасности системно: в большинстве компаний вопросы ИБ решаются по остаточному принципу, у 13 % вообще нет ответственных, а 16 % не применяют никаких технических решений для обеспечения кибербезопасности. Такие данные представлены в исследовании ИТ-компании «Киберпротект» и платформы по поиску работы «Работа.ру»
«Лаборатория Касперского» и MWS AI (входит в МТС Web Services) проанализировали, как меняется восприятие нейросетей среди пользователей и к каким последствиям это может привести с точки зрения кибербезопасности
В топ-3 по популярности входят Telegram, VK и Авито.
«Р7-Офис» представляет собой значительно более мощный инструмент для организаций разного масштаба
Мошенники активно эксплуатируют доверчивость пользователей, уязвимости дешевых устройств и анонимность криптовалют. Осведомленность и базовые меры безопасности помогут избежать потерь
В ходе кампании сотрудники компаний получают фишинговые письма, маскирующиеся под официальные рассылки государственных министерств.
XXI век – эпоха цифровизации. Практически все сферы жизни, от личного общения до государственных операций, перешли в онлайн. Но вместе с удобствами появились и новые угрозы: кибератаки, утечки данных, финансовые махинации
Ваши контактные данные не публикуются на сайте.