ToutSurTout.biz
Des vulnérabilités découvertes sur deux des sex-toys les plus vendus au monde


https://www.world-lolo.com/images/uploads/image.num1615483359.of.world-lolo.com.png
Lovense Max.



« La sécurité ne semble pas être une priorité pour la plupart des objets pour adultes à l'heure actuelle »

Le Lovense Max, lui, est spécifiquement dédié aux longues distances, on ne vous fait pas de dessin, avec une synchronisation des deux appareils, même situés à des milliers de kilomètres l'un de l'autre. Cela signifie qu'un individu malveillant pourrait prendre le contrôle non pas d'un seul, mais des deux appareils, le tout en ne compromettant qu'un des deux.

Alors quelles données sont exposées ici ? ESET précise que les fichiers multimédias ne contiennent pas de métadonnées lors des échanges, et qui plus est, l'application est protégée par un code de déverrouillage à quatre chiffres, ce qui renforce la sécurité. Mais la conception même de l'application peut menacer la vie privée des utilisateurs. Est notamment évoquée la possibilité de transmettre des images à des tiers, le tout à l'insu du propriétaire de ces dernières. Les utilisateurs supprimés ou bloqués peuvent aussi continuer à accéder à l'historique de discussion et aux fichiers multimédias précédemment partagés. Et les adresses électroniques rattachées à l'application sont partagées en clair entre chaque téléphone participant à une session de chat.

Lovense Max n'utilise pas non plus d'authentification pour les connexions BLE (Bluetooth Low Energy). Ce n'est pas un détail, puisque cela expose l'appareil à une attaque MitM, qui permettrait ainsi à l'attaquant de prendre directement le contrôle de l'appareil. « Bien que la sécurité ne semble pas être une priorité pour la plupart des objets pour adultes à l'heure actuelle, les utilisateurs peuvent prendre certaines mesures pour se protéger, notamment éviter d'utiliser les appareils dans des lieux publics, ou des zones de passage telles que des hôtels. Ils doivent uniquement connecter l'objet intelligent à son application mobile lorsqu'il est utilisé, car cela empêchera l'appareil d'annoncer sa présence auprès d'acteurs malveillants potentiels », conseillent Denise Giusto et Cecilia Pastorino, chercheuses chez ESET.

Aujourd'hui, toutes les vulnérabilités ont été corrigées par les fabricants.