有外媒报道,一家成人用品制造商 Lovense ,被一位安全研究员曝出高危安全漏洞。
说是......可远程控制玩具,造成实质性危害。
这条新闻一经公开到网上,就引发了网友热议:
“ 这确定不是新功能? ”
“ 不是漏洞,其实是隐藏玩法。 ”
“ 挖了这么多年漏洞,头一次见这种 bug 。 ”
......
这里面有个细节,这位安全员发现了这家公司的系统安全漏洞后,通过平台反馈完,还拿到了 3000 美元奖励。
同时,这家成人用品制造商称相关漏洞,其需要 14 个月才能修复这些漏洞。
但有行业惯例表示,在漏洞提交满 90 天后,该公司的高危级别安全漏洞细节或将被公开。
而这次发现的漏洞,涉及泄露用户的真实邮件地址、接管账户并控制玩具等风险。
这些对制造商而言都是致命威胁。
其中,泄露用户的真实邮件地址这个漏洞,是因为这家成人用品制造商旗下的 Lovense App 直接将用户名与电子邮箱关联;
外界借助网络分析工具抓取到用户的电子邮件地址,甚至不需要添加好友。
另外的接管账户并控制玩具漏洞呢,就是外界拿到平台用户电子邮箱地址后,可以借助漏洞创建身份验证令牌。
不要密码、也不用验证啥的就能直接访问用户的 Lovense 账户,进而实现远程控制成人用品。
这......就很有可能直接给用户造成真实伤害。
所以这个漏洞的危害,显而易见了,关键是这家制造商称相关漏洞已修复,但被质疑漏洞仍然能复现。
看完整件事的来龙去脉,实在难绷。
不管是基于这个漏洞本身,还是制造商和安全研究员的开撕,甚至后续的无效修复,都是 “ 离谱他妈给离谱开门,离谱到家了 ” 。
咱也就从吃瓜出发,但从安全员的第一视角来看,这家成人用品制造商也算是彻底翻车了......
