Egy súlyos biztonsági rést kihasználva hekkerek bárkire rázárhatnak egy netes irányítású erényövet – írja a Tech Crunch. A kínai Qiui Cellmate-je egy alkalmazással, interneten keresztül távolról nyitható és zárható, így ha elmegy a net, vagy valaki feltöri a Qiui rendszerét, akkor akár több tízezren is beszorulhatnak a műanyagkalitkába.
Ahogy arra kiberbiztonsági elemzők rájöttek, az utóbbi eset nem is olyan valószerűtlen. A Pen Test Partners elemzői azt vették észre, hogy egy biztonsági rést kihasználva egy hekker végleg rákattinthatja a lakatot egy gyanútlan férfira.
A szexjátékot a domina-dominált kapcsolatban élőknek fejlesztették azért, hogy minden irányítás a domináns fél kezében legyen. Szó szerint, ugyanis egy alkalmazással, Bluetoothon keresztül vezérelhető a zár. A probléma az, hogy a alkalmazás egy olyan API-n (alkalmazásprogramozási felületen) keresztül kommunikál az erényövvel, amin nem volt jelszó.
Így gyakorlatilag bárki lezárhatta vagy feloldhatta volna az eszközt, kivéve, akin szorult a hurok. Mivel a lezárást egy fémgyűrűvel oldották meg, a kutatók szerint valószínűleg csak csapszegvágóval vagy sarokcsiszolóval lehetne kiszabadítani az áldozatot.
Alex Lomas, a Pen Test Partner elemzője szerint még egy vészkapcsoló sincs, amivel fel lehetne oldani a zárat. Ezen kívül egy hekker az alkalmazásban lévő privát üzenetekhez is hozzáférhetett volna, valamint az erényöv pontos helyéhez is.
Mielőtt az elemzők szétkürtölték volna, hogy létezik egy ilyen rés, először felvették a kapcsolatot a gyártóval. Ekkor felmerült a probléma, hogy ha leállítják az aktuális API-t, akkor aki ép használja az eszközt, beszorul. Emiatt csak az új felhasználók kapták meg az új, biztonságos verziót. Azóta a Qiui több határidőt is adott magának, hogy megoldja a problémát, de egyiket sem sikerült megtartani. Arra hivatkoznak, hogy csak egy kis garázscég, és minden megoldás újabb problémákat vetne fel.
A Pen Test Partners azután döntött úgy, hogy nyilvánosságra hozzák a rést, hogy egy tőlük független elemző csapat is rátalált. Ez azt jelentette, hogy bárki rábukkanhat a hibára így jobb, ha a felhasználók tudnak róla.
Egyelőre nem tudni, hogy zárta már-e rá egy hekker valakire az erényövet, de többen panaszkodtak már, hogy a bugos alkalmazás miatt több napra beszorultak. A Pen Test Partner talált a megoldást a lezárásra, bár ez nem kimondottan kézenfekvő: szét kell szedni az erényövet, és a zárt irányító áramköri lapot túl kell tölteni egy 3 voltnyi lökettel.