Svakom Siime Eye - abbiamo ritirato questo vibratore dalla nostra gamma per motivi di sicurezza.
6.4.2017
Traduzione: tradotto automaticamente
Oggi ho letto un avviso di sicurezza che ha suscitato la reazione "Chi diavolo lo fa? Pochi minuti dopo, abbiamo ritirato un giocattolo d'amore dalla nostra gamma. Il motivo: una grave violazione della sicurezza.
Il vibratore Svakom Siime Eye - pronunciato "see me" - non è più disponibile da noi. Forse un successore troverà posto nella nostra gamma, ma solo quando la sua sicurezza ci avrà convinto. Dopo tutto, con il Siime Eye la sicurezza è praticamente inesistente. Sappiamo che non possiamo più vendere questo prodotto con la coscienza pulita. Cosa che vogliamo evitare a tutti i costi.
Perché sembra che il Siime Eye di Svakom sia un prodotto fallito.
Analizziamo questa disfatta nel dettaglio.
Che cos'è il Siime Eye di Svakom?
Svakom è un'azienda che crea giocattoli d'amore per donne. L'azienda americana si è guadagnata la notorietà per aver realizzato prodotti che producono piacere a letto e che sono comunque esteticamente gradevoli. Il produttore punta su tempi di ricarica brevi e motori potenti.
Una telecamera.
Quindi abbiamo una webcam in un dispositivo che viene tipicamente utilizzato nella zona nuda del bacino di un utente. Sarebbe quindi un peccato se queste immagini venissero rese pubbliche.
Puoi certamente capire dove sto andando a parare.
Il test di penetrazione che lo riporta alla realtà
L'analisi del codice sorgente mostra che alcuni dati del dispositivo sono codificati in modo rigido. Questa programmazione hard-coded è criticata dai ricercatori di sicurezza e, chiunque sia esperto in materia, sconsiglia l'uso di codice hard.
Questi dati sono critici:
IP: 192.168.1.1
Porta: 80
SSID: Siime Eye
Nome utente: admin
Password: [blank] (quindi vuota)
Se ti trovi nella stessa rete domestica del Siime Eye, puoi digitare 192.168.1.1:80 nel browser di tua scelta, inserire il nome utente "admin" e lasciare vuoto il campo della password. Certo, durante la configurazione il produttore ti dirà di cambiare la password, ma questo è inutile se il nome utente e la password sono già specificati nel codice sorgente. Perché nessuno può cambiarli o influenzarli.
Cosa succede?
L'analisi dettagliata del codice ha dimostrato che il codice utilizzato per il Siime Eye è stato sicuramente scritto per i droni. I nomi utilizzati nel codice portano a un drone chiamato Skyviper. PenTestPartners ha chiesto informazioni all'azienda, la quale non era a conoscenza del fatto che il suo codice fosse utilizzato per giocattoli d'amore.
L'app che non è sicura
Il Siime Eye è solitamente controllato da un'app per Google Android o Apple iOS. I dati di accesso sono, ancora una volta, ovvi.
SSID: Siime Eye
Password: 88888888
Questi dati devono essere inseriti al momento della prima connessione con il punto di accesso Siime Eye. In caso contrario, l'applicazione non potrà comunicare con il vibratore. L'applicazione stessa ha solo funzionalità limitate. Può scattare foto e registrare video. I video possono essere riprodotti.
Riassumendo i due punti deboli: chiunque sia connesso alla stessa rete del Siime Eye o si trovi nelle vicinanze del punto di accesso WiFi del giocattolo può accedere alle registrazioni video.
.. fantastico.
Con un po' più di abilità, i ricercatori di PenTestPartner sono riusciti a prendere il pieno controllo (accesso root) del dispositivo a lungo termine. Nel mondo della sicurezza informatica, Siime Eye passerà sicuramente alla storia come il dispositivo che ha trasformato in realtà la frase "Root on vibrator".
Quindi un consiglio: butta via il tuo Siime Eye. Abbiamo altre alternative.
Se vuoi ancora una telecamera per la teledidattica, abbiamo creato il seguente bundle.
Giornalista. Autore. Hacker. Sono un contastorie e mi piace scovare segreti, tabù, limiti e documentare il mondo, scrivendo nero su bianco. Non perché sappia farlo, ma perché non so fare altro.
Test del prodotto
Le nostre esperte ed esperti mettono alla prova i prodotti e le loro applicazioni. In modo indipendente e neutrale.
Visualizza tutti
