Двое исследователей, известные под псевдонимами Goldfisk и Follower, рассказали на конференции DEF CON о том, что в наши дни за пользователями следят даже вибраторы.
Исследователи изучили беспроводную секс-игрушку We-Vibe 4 Plus, которая контролируется через Bluetooth, посредством приложения на смартфоне. То, что девайс беспроводной, означает, что его производитель должен был заполнить соответствующие бумаги для Федеральной комиссии по связи США. Именно это помогло исследователям узнать, что We-Vibe 4 Plus использует в работе процессор Texas Instruments CC2541, с устаревшим BlueTooth чипом на 2,4 ГГц.
Выяснилось, что устройство достаточно легко взломать: исследователи расшифровали Bluetooth-команды, посредством которых устройство сообщалось со смартфоном, и установили, что имеют дело с последовательностью данных всего восемь байтов длиной, где первый байт отвечает за режим работы устройства.
Оказалось, что производитель вибраторов собирает всю информацию о своих устройствах, которую только может. We-Vibe 4 Plus тщательно фиксирует (в режиме реального времени), когда устройство включено, какой из десяти режимов вибрации оно использует, и раз в минуту передает на удаленный сервер компании даже данные о температуре девайса.
«Данные о температуре, по всей видимости, связаны с температурой мотора устройства, однако они позволяют понять, когда устройство находится в контакте с человеческим телом, — рассказал Follower в ходе доклада. — Как минимум можно установить, используется ли устройство прямо сейчас, производитель в режиме реального времени собирает данные».
Так как производитель оставляет за собой право передавать собранные данные властям, многие пользователи We-Vibe оказываются не только под угрозой взлома, но и под угрозой юридического преследования. Дело в том, что подобные устройства считаются нелегальными в ряде штатов и стран, к примеру, в Индии, на Филиппинах или в штате Алабама.
«Вы можете сказать, что сбор данных — это неотъемлемая часть работы любого мобильного приложения в наши дни, — говорит Follower. — Но мы хотели бы поставить это утверждение под вопрос. Если вы производите такие интимные устройства, которые контролируются мобильным приложением, возможно, вам стоило задуматься об уместности сбора данных вообще. Если сбор данных не осуществляется, устройство не будет уязвимо как для брешей в безопасности и утечек данных, так и для правоохранительных органов».
Исследователи отметили, что если кому-то придет в голову взломать такое устройство и, к примеру, переключить режим его работы (технически это возможно), взломщик может поплатиться не только за взлом, ведь его действия будут трактоваться правоохранительными органами как принуждение к сексуальному контакту.
В конце презентации исследователи рассказали, что запускают инициативу Private Play Accord, призванную сделать более прозрачной работу производителей различных интимных устройств, от вибраторов, до кардиостимуляторов. Исследователи утверждают, что они уже связались с восемью производителями различных девайсов, но пока не получили ни одного ответа.