Svakom Siime Eye - abbiamo ritirato questo vibratore dalla nostra gamma per motivi di sicurezza.
6.4.2017
Traduzione: tradotto automaticamente
Oggi ho letto un avviso di sicurezza che ha suscitato la reazione "Chi diavolo lo fa? Pochi minuti dopo, abbiamo ritirato un giocattolo d'amore dalla nostra gamma. Il motivo: una grave violazione della sicurezza.
Il vibratore Svakom Siime Eye - pronunciato "see me" - non è più disponibile da noi. Forse un successore troverà posto nella nostra gamma, ma solo quando la sua sicurezza ci avrà convinto. Dopo tutto, con il Siime Eye la sicurezza è praticamente inesistente. Sappiamo che non possiamo più vendere questo prodotto con la coscienza pulita. Cosa che vogliamo evitare a tutti i costi.
Perché sembra che il Siime Eye di Svakom sia un prodotto fallito.
Analizziamo questa disfatta nel dettaglio.
Che cos'è il Siime Eye di Svakom?
Svakom è un'azienda che crea giocattoli d'amore per donne. L'azienda americana si è guadagnata la notorietà per aver realizzato prodotti che producono piacere a letto e che sono comunque esteticamente gradevoli. Il produttore punta su tempi di ricarica brevi e motori potenti.
Il modello Siime Eye è un trucco dell'Internet delle cose. L'Internet delle cose è un termine generico che indica tutto ciò che è intelligente. I dispositivi che comunicano con altri dispositivi stanno diventando sempre più diffusi. Poiché l'industria dei giocattoli erotici è generalmente molto avanzata dal punto di vista tecnologico, il campo della teledildonica si è gradualmente affermato. Il termine descrive "l'attività sessuale senza presenza fisica". Un po' come Sandra Bullock e Sylvester Stallone in "Demolition Man".
Al contrario, il Siime Eye è molto più presentabile. Il dispositivo non solo dispone di una connessione a internet per soddisfare le caratteristiche della teledidattica e di un potente motore, ma ha anche una fotocamera. È chiaro che ad alcune persone piace questo aspetto e bisogna tenerne conto. Tutti abbiamo un feticcio, grande o piccolo che sia, innocuo o un po' fuori dal comune. Una breve ricerca sui portali di video mostra che la richiesta di video ripresi dall'interno del corpo umano esiste.
Una telecamera.
Quindi abbiamo una webcam in un dispositivo che viene tipicamente utilizzato nella zona nuda del bacino di un utente. Sarebbe quindi un peccato se queste immagini venissero rese pubbliche.
Puoi certamente capire dove sto andando a parare.
Il test di penetrazione che lo riporta alla realtà
Per trasferire le immagini al computer, Svakom Siime Eye utilizza lo standard WiFi. In altre parole, il dispositivo diventa un punto di accesso WiFi. Secondo i penetration tester di PenTestPartners, ha senso che il dispositivo utilizzi lo standard WiFi perché tutti gli standard come il Bluetooth e altri non riescono a ritrasmettere il segnale di una fotocamera senza ritardi; il che non è molto ottimale, dato che le passioni romantiche funzionano meglio in tempo reale.
L'analisi del codice sorgente mostra che alcuni dati del dispositivo sono codificati in modo rigido. Questa programmazione hard-coded è criticata dai ricercatori di sicurezza e, chiunque sia esperto in materia, sconsiglia l'uso di codice hard.
Questi dati sono critici:
IP: 192.168.1.1
Porta: 80
SSID: Siime Eye
Nome utente: admin
Password: [blank] (quindi vuota)
Se ti trovi nella stessa rete domestica del Siime Eye, puoi digitare 192.168.1.1:80 nel browser di tua scelta, inserire il nome utente "admin" e lasciare vuoto il campo della password. Certo, durante la configurazione il produttore ti dirà di cambiare la password, ma questo è inutile se il nome utente e la password sono già specificati nel codice sorgente. Perché nessuno può cambiarli o influenzarli.
Cosa succede?
Il browser mostra la registrazione video del Siime Eye. La web app che ha il marchio Svakom Siime Eye ha l'aspetto di una normale app per fotocamera, come quella dei portali web con controllo della webcam. A questo si aggiungono altre funzioni come "registra video quando viene definito un movimento". Inoltre, parametri come "skype_pw" sono preregistrati e consentono la connessione al servizio di telefonia via Internet Skype. Non si tratta di una falla di sicurezza, ma di un'enorme violazione.
L'analisi dettagliata del codice ha dimostrato che il codice utilizzato per il Siime Eye è stato sicuramente scritto per i droni. I nomi utilizzati nel codice portano a un drone chiamato Skyviper. PenTestPartners ha chiesto informazioni all'azienda, la quale non era a conoscenza del fatto che il suo codice fosse utilizzato per giocattoli d'amore.
L'app che non è sicura
Il Siime Eye è solitamente controllato da un'app per Google Android o Apple iOS. I dati di accesso sono, ancora una volta, ovvi.
SSID: Siime Eye
Password: 88888888
Questi dati devono essere inseriti al momento della prima connessione con il punto di accesso Siime Eye. In caso contrario, l'applicazione non potrà comunicare con il vibratore. L'applicazione stessa ha solo funzionalità limitate. Può scattare foto e registrare video. I video possono essere riprodotti.
Riassumendo i due punti deboli: chiunque sia connesso alla stessa rete del Siime Eye o si trovi nelle vicinanze del punto di accesso WiFi del giocattolo può accedere alle registrazioni video.
.. fantastico.
Con un po' più di abilità, i ricercatori di PenTestPartner sono riusciti a prendere il pieno controllo (accesso root) del dispositivo a lungo termine. Nel mondo della sicurezza informatica, Siime Eye passerà sicuramente alla storia come il dispositivo che ha trasformato in realtà la frase "Root on vibrator".
Quindi un consiglio: butta via il tuo Siime Eye. Abbiamo altre alternative.
Se vuoi ancora una telecamera per la teledidattica, abbiamo creato il seguente bundle.
Giornalista. Autore. Hacker. Sono un contastorie e mi piace scovare segreti, tabù, limiti e documentare il mondo, scrivendo nero su bianco. Non perché sappia farlo, ma perché non so fare altro.
5 commenti
later