因?yàn)樾鹿谝咔榫蛹腋綦x帶來的疏離感，全球各個(gè)國(guó)家性玩具銷量迅速增長(zhǎng)。

但是和其他物聯(lián)網(wǎng)智能設(shè)備一樣，具有聯(lián)網(wǎng)功能的情趣玩具也可能會(huì)有隱私信息泄露風(fēng)險(xiǎn)。

漏洞可能允許攻擊者在設(shè)備上執(zhí)行惡意代碼，或者將其鎖定，從而阻止用戶向玩具發(fā)送任何命令。實(shí)際上，已經(jīng)出現(xiàn)過涉及類似的真實(shí)案例（黑客攻擊智能情趣用品：Your cock is mine now）

智能情趣玩具有許多功能：通過Internet進(jìn)行遠(yuǎn)程控制，群聊，圖片，視頻會(huì)議，與歌曲或有聲讀物的同步，以及與智能助手連接的功能。

在架構(gòu)方面，大多數(shù)這些設(shè)備都可以通過智能手機(jī)上安裝的應(yīng)用程序通過低功耗藍(lán)牙（BLE）進(jìn)行控制。這個(gè)應(yīng)用程序可以在設(shè)備上進(jìn)行各項(xiàng)參數(shù)設(shè)置，并控制用戶的身份驗(yàn)證過程。

情趣玩具連接到云服務(wù)器，服務(wù)器存儲(chǔ)用戶的各類相關(guān)信息。云服務(wù)鏈接情趣玩具用戶之間聊天，視頻和文件傳輸?shù)裙δ�，甚至可以將設(shè)備的控制權(quán)限授權(quán)給遠(yuǎn)程的另一個(gè)用戶。

圖1.智能性玩具的體系結(jié)構(gòu)

這種體系結(jié)構(gòu)中有幾個(gè)環(huán)節(jié)可能存在風(fēng)險(xiǎn)，被攻擊者利用竊取通信數(shù)據(jù)：攔截控制應(yīng)用程序與設(shè)備之間，應(yīng)用程序與云服務(wù)器之間，遠(yuǎn)程s設(shè)備與云服務(wù)器之間的通信，或直接攻擊云服務(wù)器。

盡管開發(fā)人員已經(jīng)對(duì)通信連接進(jìn)行了多重安全審查，但調(diào)查表明，有一些設(shè)備還是存在漏洞，威脅到數(shù)據(jù)的安全性，甚至用戶的隱私信息。

可以想象，情趣玩具處理的信息極為敏感性：私密的照片和視頻，姓名，性取向或性伴侶的名單，有關(guān)設(shè)備使用的信息–如果這些信息泄露，可能會(huì)給您巨大的困擾甚至損失。

除了擔(dān)心隱私外，智能性玩具也可能受到常規(guī)形式的網(wǎng)絡(luò)攻擊。

比如利用應(yīng)用程序中的漏洞，攻擊者可以發(fā)起DoS（拒絕服務(wù)）攻擊，導(dǎo)致無法控制玩具，或者執(zhí)行惡意軟件，甚至是故意修改參數(shù)，對(duì)用戶造成身體傷害（例如設(shè)備過熱）。

最后，如果攻擊者未經(jīng)同意就能夠控制該情趣玩具，并發(fā)送指令到該設(shè)備，將會(huì)帶來什么后果？

通過情趣玩具的對(duì)人造成的侵犯是否構(gòu)成犯罪，可能導(dǎo)致性侵犯指控？

這項(xiàng)研究的目的是確定為控制主要性?shī)蕵吩O(shè)備品牌銷售的最受歡迎模型而創(chuàng)建的Android應(yīng)用程序的安全級(jí)別，并確定它們?cè)诙啻蟪潭壬洗_保用戶數(shù)據(jù)的機(jī)密性。該分析基于兩個(gè)模型：Lovense的Max和We-Vibe Jive。

以下各節(jié)詳細(xì)介紹了我們?yōu)槊總�(gè)應(yīng)用程序和設(shè)備發(fā)現(xiàn)的一些安全問題。兩位開發(fā)人員都收到了有關(guān)該漏洞的詳細(xì)報(bào)告以及如何修復(fù)這些漏洞的建議。在本文發(fā)布時(shí)，所有漏洞已得到解決。我們要感謝WOW Tech Group和Lovense在處理所報(bào)告問題方面的合作。

由于在此協(xié)議中外圍設(shè)備需要不斷地宣布其連接，以便用戶可以連接到它，因此任何人都可以使用簡(jiǎn)單的藍(lán)牙掃描儀在附近找到這些設(shè)備。

圖2.通過藍(lán)牙掃描儀發(fā)現(xiàn)附近可用的性玩具

圖2顯示了使用移動(dòng)藍(lán)牙掃描儀可以輕松找到這些設(shè)備。在掃描儀中，我們可以看到Jive和Max以及詳細(xì)信息。Jive宣布其型號(hào)名稱，使其易于識(shí)別。同樣，其信號(hào)功率為-69 dBm。當(dāng)掃描儀接近設(shè)備時(shí)，此功率級(jí)別將增加，從而可以找到其所有者。

Jive和Max都使用“ Just Works”方法進(jìn)行配對(duì)，這是所有BLE配對(duì)方法中安全性最低的方法。在這種方法中，將設(shè)備在配對(duì)第二階段使用的臨時(shí)密鑰設(shè)置為0，然后設(shè)備將在此基礎(chǔ)上生成短期密鑰的值。此方法對(duì)中間人（MitM）攻擊廣泛開放，因?yàn)槿魏卧O(shè)備都可以使用0作為臨時(shí)密鑰進(jìn)行連接。實(shí)際上，這意味著Jive和Max會(huì)自動(dòng)與任何要求他們這樣做的手機(jī)，平板電腦或計(jì)算機(jī)綁定，而無需執(zhí)行任何驗(yàn)證或身份驗(yàn)證。

在以下概念驗(yàn)證中，BtleJuice框架和兩個(gè)BLE加密狗用于在用戶和Jive之間復(fù)制MitM攻擊。在這種模擬情況下，攻擊者首先控制Jive，由于缺少身份驗(yàn)證，該Jive可以直接連接到該Jive，然后宣布一個(gè)虛擬Jive設(shè)備，該設(shè)備是根據(jù)原始Jive宣布的信息進(jìn)行設(shè)置的。接下來，當(dāng)用戶決定連接到玩具時(shí)，用戶的設(shè)備實(shí)際上將連接到攻擊者宣傳的假設(shè)備。然后，攻擊者可以通過BtleJuice Web界面捕獲用戶發(fā)送給玩具的所有數(shù)據(jù)包，從而獲得有關(guān)使用模式，振動(dòng)強(qiáng)度等的信息。攻擊者還可以編輯截獲的命令，更改振動(dòng)模式或強(qiáng)度，或生成自己的命令并將其發(fā)送給玩具，對(duì)于Jive設(shè)備，由于存在這樣的事實(shí)，即增加了這些風(fēng)險(xiǎn)，因?yàn)樗�是可穿戴設(shè)備，旨在使用戶能夠在白天，餐館，聚會(huì)，酒店或任何其他公共場(chǎng)所隨身攜帶該設(shè)備地點(diǎn)。

Lovense應(yīng)用程序的遠(yuǎn)程控制功能選項(xiàng)列表包括生成https://api2.lovense.com/c/ 格式的URL的選項(xiàng)，其中是四個(gè)字母數(shù)字字符的組合。這使遠(yuǎn)程用戶只需在其瀏覽器中輸入U(xiǎn)RL即可控制設(shè)備。

出乎意料的是，對(duì)于這樣的短令牌，其可能的組合相對(duì)較少（下載量超過一百萬的應(yīng)用中有1,679,616個(gè)可能的令牌），服務(wù)器沒有針對(duì)暴力攻擊的保護(hù)措施。

當(dāng)使用不存在的令牌進(jìn)行查詢時(shí)，服務(wù)器將重定向到/ redirect并返回JSON消息{“ result”：true，“ code”：404，“ message”：“找不到頁(yè)面”}}。但是，如果令牌有效，則服務(wù)器將重定向到格式為https：// [apps | api2] .lovense.com / app / ws / play / 的另一個(gè)URL，而該URL又將重定向到https：// [apps | api2] .lovense.com / app / ws2 / play / ，其中是會(huì)話ID：類似于MD5的字符串，用于標(biāo)識(shí)用戶以及為其創(chuàng)建設(shè)備的ID。令牌在其時(shí)限（大約30分鐘）內(nèi)到期，或者在經(jīng)歷了整個(gè)重定向過程之后訪問了最終URL時(shí)，該令牌就會(huì)過期。但是，一些令牌在半小時(shí)結(jié)束后仍保持活動(dòng)狀態(tài)，即使是幾天也是如此。

由于可以根據(jù)服務(wù)器的響應(yīng)來區(qū)分有效令牌，活動(dòng)令牌和過期令牌，因此我們創(chuàng)建了一個(gè)概念證明，可以通過蠻力找到有效令牌。在視頻中，我們首先列出了數(shù)十個(gè)令牌：我們使用設(shè)備創(chuàng)建了其中一些令牌，然后添加了其他隨機(jī)令牌。我們的設(shè)備生成的大多數(shù)令牌已經(jīng)過期，但其中一個(gè)仍處于活動(dòng)狀態(tài)。然后，我們編寫了一個(gè)簡(jiǎn)單的Python腳本，并將其用于這組標(biāo)記。當(dāng)此腳本找到有效的令牌時(shí)，它將在瀏覽器中打開最終URL，并借助我們?yōu)榇四康脑O(shè)計(jì)的Chrome擴(kuò)展程序來檢查會(huì)話是否已過期。如果發(fā)現(xiàn)會(huì)話處于活動(dòng)狀態(tài)，它將通過Telegram機(jī)器人將消息發(fā)送到指定的帳戶，并向其通知找到的新控制面板。

與供應(yīng)商一起，我們能夠確認(rèn)可以使用蠻力從隨機(jī)用戶那里找到代幣。這是一個(gè)非常嚴(yán)重的漏洞，因?yàn)樗�使攻擊者可以在未�?jīng)用戶同意或不知情的情況下，輕松地對(duì)希望通過活動(dòng)令牌進(jìn)行連接的設(shè)備進(jìn)行遠(yuǎn)程劫持。

關(guān)于控制這些玩具的應(yīng)用程序（Lovense Remote和We-Connect），發(fā)現(xiàn)了一些有爭(zhēng)議的設(shè)計(jì)選擇，這些選擇可能會(huì)威脅到用戶的隱私。這可能是非常危險(xiǎn)的，因?yàn)樵S多用戶通過在線共享令牌來授予對(duì)設(shè)備的控制權(quán)，以使陌生人完整，這是個(gè)人喜好或作為“ cam girl / boy”服務(wù)的一部分。

在Lovense Remote中，沒有端到端加密，沒有禁用屏幕截圖，聊天中的“刪除”選項(xiàng)實(shí)際上并未刪除遠(yuǎn)程電話中的消息，并且用戶可以在沒有警告的情況下下載和轉(zhuǎn)發(fā)其他人的內(nèi)容被發(fā)送到內(nèi)容創(chuàng)建者。同樣，每個(gè)電子郵件地址在每次聊天涉及的所有電話之間共享，并以純文本格式存儲(chǔ)在許多位置，例如共享的首選項(xiàng)文件wear_share_data.xml。因此，惡意用戶可以找到與任何給定用戶名關(guān)聯(lián)的電子郵件地址，反之亦然。

最后，Lovense Remote不會(huì)為固件更新實(shí)現(xiàn)證書固定。并且由于解密密鑰存儲(chǔ)在應(yīng)用程序的代碼中，因此攻擊者創(chuàng)建腳本來攔截?cái)?shù)據(jù)包并將受害者重定向到攻擊者的惡意URL以下載偽造的固件升級(jí)將相對(duì)簡(jiǎn)單。

在We-Connect應(yīng)用程序中，敏感元數(shù)據(jù)沒有在發(fā)送之前從文件中剝離，這意味著用戶在與其他用戶進(jìn)行性愛時(shí)可能會(huì)無意間發(fā)送有關(guān)其設(shè)備及其確切地理位置的信息。最后，通過使用不良的USB（概念證明），可以很容易地強(qiáng)制使用四位數(shù)的PIN來訪問應(yīng)用程序。

智能情趣玩具已經(jīng)逐漸被大眾接受，在95后年輕群體，甚至是一種時(shí)尚潮流，已經(jīng)成為“兩性健康”產(chǎn)業(yè)的重要組成部分。

與其他任何物聯(lián)網(wǎng)設(shè)備一樣，沒有100%的安全解決方案。

其實(shí)用戶的安全意識(shí)對(duì)于數(shù)據(jù)保護(hù)至關(guān)重要，因此，教育消費(fèi)者情趣玩具相關(guān)的安全知識(shí)和隱私風(fēng)險(xiǎn)成為當(dāng)務(wù)之急。

對(duì)于開發(fā)人員而言，犧牲部分系統(tǒng)安全性，而加快開發(fā)速度，節(jié)約研發(fā)成本已達(dá)到提高產(chǎn)品市場(chǎng)競(jìng)爭(zhēng)力的選擇是一定不可取的。