Falha na aplicação de brinquedos sexuais revela endereços de e-mail privados dos utilizadores

Um investigador de segurança afirma que a fabricante de brinquedos sexuais Lovense não corrigiu totalmente duas falhas que expõem os e-mails privados dos utilizadores e permitem assumir o controlo de qualquer conta.

Brinquedos sexuais que estão expostos a falhas críticas de segurança

O investigador, conhecido como BobDaHacker, publicou esta segunda-feira os detalhes das vulnerabilidades depois de a Lovense afirmar que precisaria de 14 meses para as resolver, de modo a não prejudicar utilizadores de produtos mais antigos.

A Lovense é uma das maiores fabricantes de brinquedos sexuais com conexão à Internet, com mais de 20 milhões de utilizadores. Em 2023, ganhou destaque ao ser uma das primeiras a integrar o ChatGPT nos seus produtos.

Contudo, ligar brinquedos sexuais à Internet acarreta riscos significativos, incluindo bloqueios dos dispositivos e fuga de dados pessoais.

E-mails pessoais visíveis com ferramentas simples

Segundo BobDaHacker, a Lovense expunha os e-mails dos utilizadores através da app. Apesar de os e-mails não serem visíveis diretamente na interface, qualquer pessoa com ferramentas de análise de rede podia visualizar o e-mail do outro utilizador ao interagir com ele, por exemplo, ao silenciá-lo.

Modificando o pedido de rede a partir de uma conta autenticada, o investigador conseguia associar qualquer nome de utilizador Lovense ao respetivo e-mail, expondo potencialmente qualquer cliente com um e-mail identificável.

Era especialmente grave para utilizadores de conteúdo adulto transmitido online que partilham os seus nomes de utilizador publicamente, mas não querem expor os seus e-mails pessoais.

Escreveu no seu blogue.

Assumir controlo de contas com um e-mail

A TechCrunch confirmou a falha ao criar uma conta na Lovense e pedir ao investigador que revelasse o e-mail registado, o que foi feito em cerca de um minuto. Com um script automatizado, o processo leva menos de um segundo.

A segunda vulnerabilidade permitia assumir controlo de qualquer conta com apenas o endereço de e-mail, obtido pela falha anterior. Era possível gerar tokens de autenticação para aceder à conta sem precisar da palavra-passe, permitindo a sua utilização remota como se fosse o utilizador legítimo.

Alguns utilizadores usam estas ferramentas para trabalhar, por isso isto foi extremamente grave. Qualquer pessoa podia tomar controlo de uma conta só com o e-mail.

Afirmou BobDaHacker.

Empresa alertada em março, mas só reagiu após exposição pública

As falhas afetam qualquer pessoa com conta ou dispositivo Lovense.

As vulnerabilidades foram reportadas à Lovense a 26 de março, através do projeto Internet of Dongs, que visa melhorar a segurança de brinquedos sexuais e apoiar a divulgação responsável de falhas.

O investigador recebeu um total de 3.000 dólares através da plataforma HackerOne, mas após várias semanas de discussões sobre se as falhas estavam realmente corrigidas, decidiu torná-las públicas depois de a Lovense solicitar 14 meses para as resolver. (Normalmente, os investigadores dão três meses ou menos às empresas antes da divulgação pública.)

A empresa terá rejeitado uma correção mais rápida, num mês, por obrigar utilizadores de dispositivos antigos a atualizar imediatamente a app.

Atualização a caminho, mas sem aviso oficial aos utilizadores

BobDaHacker notificou a empresa antes da divulgação, como comprovado num e-mail visto pela TechCrunch. Segundo uma atualização no seu blogue, outra pessoa poderá ter identificado esta falha já em setembro de 2023, mas esta terá sido encerrada sem correção.

A Lovense não respondeu aos contactos para explicar o que estava a ser feito. Contudo, após o artigo ser publicado, um representante afirmou que a falha que permitia tomar contas “já foi totalmente corrigida” e que a vulnerabilidade do e-mail será resolvida numa atualização “disponível para todos os utilizadores dentro de uma semana”.

No entanto, a empresa não se comprometeu a informar publicamente os seus clientes sobre as falhas.