2021/04/09
スマート大人のおもちゃの安全性分析(技術的な長い記事の慎重なエントリ)
新たな王冠の大流行による家の孤立による疎外感により、世界中のさまざまな国で大人のおもちゃの販売が急速に伸びています。
ただし、他のIoTスマートデバイスと同様に、ネットワーク機能を備えた大人のおもちゃにもプライバシー情報が漏洩するリスクがあります。
この脆弱性により、攻撃者はデバイス上で悪意のあるコードを実行したり、デバイスをロックしたりして、ユーザーがおもちゃにコマンドを送信できなくなる可能性があります。実際、同様のことを含む実際のケースがありました
スマート大人のおもちゃの特徴
スマートな大人のおもちゃには、インターネットを介したリモートコントロール、グループチャット、写真、ビデオ会議、曲やオーディオブックとの同期、スマートアシスタントとの接続機能などの多くの機能があります。
アーキテクチャに関しては、これらのデバイスのほとんどは、スマートフォンにインストールされたアプリケーションを介してBluetooth Low Energy(BLE)を介して制御できます。このアプリケーションは、デバイスにさまざまなパラメータを設定し、ユーザーの認証プロセスを制御できます。
大人のおもちゃはクラウドサーバーに接続されており、サーバーはユーザーのさまざまな関連情報を保存します。クラウドサービスは、大人のおもちゃユーザー間のチャット、ビデオ、ファイル転送などの機能をリンクし、デバイスの制御権限を別のリモートユーザーに許可することもできます。
このアーキテクチャには危険にさらされる可能性のあるリンクがいくつかあり、攻撃者はそれらを使用して通信データを盗むことができます。アプリケーションとデバイス間、アプリケーションとクラウドサーバー間、またはリモートのデバイスとクラウドサーバー、またはクラウドサーバーを直接攻撃します。
開発者は通信接続のセキュリティレビューを複数回実施しましたが、調査によると、一部のデバイスには、データセキュリティやユーザーの個人情報さえも脅かす脆弱性が残っています。
大人のおもちゃの観点から安全性がそれほど重要なのはなぜですか?
大人のおもちゃで処理される情報は非常に機密性が高いと考えられます:個人の写真やビデオ、名前、性的指向または性的パートナーのリスト、デバイスの使用に関する情報-この情報が漏洩した場合、大きな問題を引き起こす可能性がありますまたは損失さえ。
したがって、ハッカーがこれらの大人のおもちゃのアプリケーションを制御し、攻撃方法を通じてユーザーの個人情報を盗むと、新しい形態の性的暴行も発生する可能性があります。
プライバシーを心配することに加えて、スマートな大人のおもちゃはまた、通常の形態のサイバー攻撃の対象となる可能性があります。
たとえば、攻撃者はアプリケーションの脆弱性を悪用してDoS(Denial of Service)攻撃を仕掛け、おもちゃを制御したり、悪意のあるソフトウェアを実行したり、パラメータを意図的に変更したりして、ユーザーに物理的な危害を加える可能性があります。 (デバイスの過熱など)。
最後に、攻撃者が同意なしに大人のおもちゃを制御し、デバイスに指示を送信できる場合、結果はどうなりますか?
大人のおもちゃによる暴行は犯罪を構成し、性的暴行の申し立てにつながる可能性がありますか?
2つのスマートデバイスの安全性評価
この調査の目的は、主要なエンターテインメント機器ブランドが販売する最も人気のあるモデルを制御するために作成されたAndroidアプリケーションのセキュリティレベルを決定し、ユーザーデータの機密性をどの程度確保するかを決定することです。分析は、ラブンスのマックスとウィーバイブジャイブの2つのモデルに基づいています。
次のセクションでは、各アプリケーションとデバイスで見つかったセキュリティの問題のいくつかについて詳しく説明します。両方の開発者は、脆弱性に関する詳細なレポートと、これらの脆弱性を修正する方法に関する提案を受け取りました。この記事の公開時点で、すべての脆弱性が解決されています。報告された問題の処理に協力してくれたWOWTechGroupとLovenseに感謝します。
Bluetooth(BLE)接続
周辺機器は、ユーザーが接続できるように、このプロトコルで接続を継続的にアナウンスする必要があるため、誰でも簡単なBluetoothスキャナーを使用して近くのこれらのデバイスを見つけることができます。
ただし、他のIoTスマートデバイスと同様に、ネットワーク機能を備えた大人のおもちゃにもプライバシー情報が漏洩するリスクがあります。
この脆弱性により、攻撃者はデバイス上で悪意のあるコードを実行したり、デバイスをロックしたりして、ユーザーがおもちゃにコマンドを送信できなくなる可能性があります。実際、同様のことを含む実際のケースがありました
スマート大人のおもちゃの特徴
スマートな大人のおもちゃには、インターネットを介したリモートコントロール、グループチャット、写真、ビデオ会議、曲やオーディオブックとの同期、スマートアシスタントとの接続機能などの多くの機能があります。
アーキテクチャに関しては、これらのデバイスのほとんどは、スマートフォンにインストールされたアプリケーションを介してBluetooth Low Energy(BLE)を介して制御できます。このアプリケーションは、デバイスにさまざまなパラメータを設定し、ユーザーの認証プロセスを制御できます。
大人のおもちゃはクラウドサーバーに接続されており、サーバーはユーザーのさまざまな関連情報を保存します。クラウドサービスは、大人のおもちゃユーザー間のチャット、ビデオ、ファイル転送などの機能をリンクし、デバイスの制御権限を別のリモートユーザーに許可することもできます。
このアーキテクチャには危険にさらされる可能性のあるリンクがいくつかあり、攻撃者はそれらを使用して通信データを盗むことができます。アプリケーションとデバイス間、アプリケーションとクラウドサーバー間、またはリモートのデバイスとクラウドサーバー、またはクラウドサーバーを直接攻撃します。
開発者は通信接続のセキュリティレビューを複数回実施しましたが、調査によると、一部のデバイスには、データセキュリティやユーザーの個人情報さえも脅かす脆弱性が残っています。
大人のおもちゃの観点から安全性がそれほど重要なのはなぜですか?
大人のおもちゃで処理される情報は非常に機密性が高いと考えられます:個人の写真やビデオ、名前、性的指向または性的パートナーのリスト、デバイスの使用に関する情報-この情報が漏洩した場合、大きな問題を引き起こす可能性がありますまたは損失さえ。
したがって、ハッカーがこれらの大人のおもちゃのアプリケーションを制御し、攻撃方法を通じてユーザーの個人情報を盗むと、新しい形態の性的暴行も発生する可能性があります。
プライバシーを心配することに加えて、スマートな大人のおもちゃはまた、通常の形態のサイバー攻撃の対象となる可能性があります。
たとえば、攻撃者はアプリケーションの脆弱性を悪用してDoS(Denial of Service)攻撃を仕掛け、おもちゃを制御したり、悪意のあるソフトウェアを実行したり、パラメータを意図的に変更したりして、ユーザーに物理的な危害を加える可能性があります。 (デバイスの過熱など)。
最後に、攻撃者が同意なしに大人のおもちゃを制御し、デバイスに指示を送信できる場合、結果はどうなりますか?
大人のおもちゃによる暴行は犯罪を構成し、性的暴行の申し立てにつながる可能性がありますか?
2つのスマートデバイスの安全性評価
この調査の目的は、主要なエンターテインメント機器ブランドが販売する最も人気のあるモデルを制御するために作成されたAndroidアプリケーションのセキュリティレベルを決定し、ユーザーデータの機密性をどの程度確保するかを決定することです。分析は、ラブンスのマックスとウィーバイブジャイブの2つのモデルに基づいています。
次のセクションでは、各アプリケーションとデバイスで見つかったセキュリティの問題のいくつかについて詳しく説明します。両方の開発者は、脆弱性に関する詳細なレポートと、これらの脆弱性を修正する方法に関する提案を受け取りました。この記事の公開時点で、すべての脆弱性が解決されています。報告された問題の処理に協力してくれたWOWTechGroupとLovenseに感謝します。
Bluetooth(BLE)接続
周辺機器は、ユーザーが接続できるように、このプロトコルで接続を継続的にアナウンスする必要があるため、誰でも簡単なBluetoothスキャナーを使用して近くのこれらのデバイスを見つけることができます。
Posted by 大人のおもちゃに関するトピック at 12:52│Comments(0)