アカウント名から1秒かからずメールアドレスが割り出され、そのアドレスを使ってアカウントが乗っ取られます
遠隔操作できる大人のおもちゃ、アプリ脆弱性で個人情報流出のおそれ。約2年放置されていたことも発覚
Share
今週はじめ、BobDaHackerと名乗るホワイトハッカーが、Lovenseのネットワーク遠隔操作機能付きアダルトトイ用アプリが、使用中にユーザーのメールアドレスを漏洩していることを発見したと、自身のウェブページで報告した。
アプリはそれ単体ではユーザーのアカウント名しか表示しないものの、ネットワーク解析ツールでアプリが送受信するデータを調べたところ、Lovenseのサーバーに改変されたリクエストを送信すれば、ターゲットとするユーザーアカウントに紐付けられたメールアドレスを取得できたという。定型のスクリプトを作っておけば、この処理には1秒もかからない。
BobDaHackerは、この脆弱性がLovenseの登録ユーザー全員を危険にさらす可能性があると述べている。特に、この道具とそのアカウント名を使ってライブ配信などを行っている、いわゆる「カムモデルと呼ばれる人々にとって、この脆弱性は悪質だ」と述べた。
さらに、アプリの別の脆弱性を突くことで、アカウントから導き出したメールアドレスを用いて、Lovenseユーザーのアカウントにアクセスするための認証トークンを作成でき、あたかも本人であるかのようにアカウントをリモート操作できるようになると述べた。つまり、Lovenseアカウントさえわかれば、そこからメールアドレスを割り出し、パスワードなしで誰でもそのLovenseアカウントを乗っ取れてしまうということだ。
BobDaHackerは3月にこの脆弱性についてLovenseに報告した。するとLovenseはバグ報奨金サイトHackerOneを通じて、合計3000ドルの賞金を提供したという。ところが、バグを実際に修正することに関して数週間にわたる議論が交わされた際、LovenseはBobDaHackerに対し、古い製品を使用している顧客にアプリの即時アップグレードを強いる「1か月以内の迅速な修正」を行わず、14か月もの修正期間が必要だと主張した。
BobDaHackerは、ユーザーにアプリをアップデートさせるだけで14か月もかかるのは異常だと述べている。また、代替案として出した「プロキシを使用して、古いアプリを壊さずにメールを非表示にする」対策についても、Lovenceは採用すると言ったものの、実際は無視したと述べた。
BobDaHackerがこの問題を公表した7月29日、XユーザーのKrissyなる人物がBobDaHackerに対し名乗り出た。Krissyは全く同じアカウント乗っ取りバグを友人のSkeletalDemiseとともに2023年に発見したという。このときLovenceは、数週間後になって問題は修正されたと主張し、Krissyらにバグ報奨金として350ドルを渡した。
しかし、修正内容を検証したKrissyらは、問題が一切修正されないままにもかかわらず、結果だけが「修正済み」とされていることを確認。そして、今回BobDaHackerが同じ問題を報告して3000ドルを得たことを知り、差額をLovenceに求めようとしているとのことだった。
その後Lovenceは、この問題について問い合わせたBleeping Computerにも「最新の脆弱性を修正した」と虚偽の説明を行っているとBobDaHackerは主張し、その解説をブログ記事で公開している。そして「嘘とデタラメだらけ」なLovenceの対応と会社としての姿勢を批判している。
ちなみに、Lovenceは2017年にも同社のアダルトトイが、それを使用しているユーザーの様子を録画・保存する問題が発覚したことがある。Lovenceはそれを「軽微なバグ」と呼んで問題視された。
- Source: BobDaHacker
- via: TechCrunch The Verge TechRadar Engadget
