Для ИБ-специалистов и интересующихся безопасностью пользователей давно не секрет, что безопасность интернета вещей оставляет желать лучшего. Едва ли не каждую неделю от исследователей поступает информация о новых уязвимостях и способах взлома «умных» холодильников, кофеварок, лампочек, замков и так далее.
Проблемы с безопасностью так же актуальны и когда речь заходит о гаджетах для взрослых. К примеру, весной текущего года специалисты Pen Test Parnters рассказали о множестве проблем, обнаруженных в «умных» вибраторах Svakom Siime Eye. Ситуация осложнялась тем, что устройства оснащены встроенной видеокамерой, которая позволяет в режиме реального времени передавать изображение с вибратора на компьютер, смартфон или планшет (посредством Wi-Fi).
Еще один известный случай произошел в прошлом году, когда на конференции DEF CON рассказали о проблемах еще одного «умного» вибратора, We-Vibe 4 Plus. Оказалось, что интимные гаджеты шпионят за своими владельцами, а производитель вибраторов собирает всю информацию о своих устройствах, которую только может. Когда эта информация попала в прессу, разгневанные пользователи подали коллективный иск против компании, который в итоге стоил WeVibe почти 4 000 000 долларов.
Теперь в похожей ситуации оказался гонконгский производитель Lovense, производящий секс-игрушки, которые можно контролировать удаленно, с помощью фирменного приложения компании (Lovense Remote).
Пользователи Reddit с удивлением обнаружили, что приложение записывает все происходящее во время использования интимного гаджета, и сохраняет полученные аудиофайлы формате 3gp в локальной директории смартфона или планшета. Дело в том, что во время установки Lovense Remote действительно запрашивает доступ к микрофону и камере устройства, однако эти права якобы нужны приложению для работы встроенного чата и для использования голосовых команд.
В ответ на негодование пользователей на Reddit появился ответ от человека, представившегося представителем компании. Как позже выяснили журналисты издания The Verge, отвечавший действительно являлся сотрудником Lovense. Он сообщил, что запись всего, что «слышит» микрофон устройства, на котором установлено приложение, это лишь «мелкий баг», но не официально предусмотренная функциональность. Также выяснилось, что проблема коснулась только пользователей Android.
Теперь, когда информация о случившемся попала в СМИ, представители Lovense еще раз официально заверили, что аудиофайлы сохранялись на пользовательских устройствах по ошибке: локальный кеш-файл должен был удаляться по завершении каждой сессии, но из-за бага он продолжал храниться в памяти устройства до начала следующей сессии. В компании подчеркнули, что интимные записи пользователей вообще не передавались на серверы Lovense, то есть компания никогда не получала эти данные и, разумеется, их не хранила.
Представители Lovense уверяют, что проблема уже была исправлена, и в самой свежей версии приложения кеш работает корректно.