因為新冠疫情居家隔離帶來的疏離感，全球各個國家性玩具銷量迅速增長。

但是和其他物聯(lián)網(wǎng)智能設(shè)備一樣，具有聯(lián)網(wǎng)功能的情趣玩具也可能會有隱私信息泄露風(fēng)險。

漏洞可能允許攻擊者在設(shè)備上執(zhí)行惡意代碼，或者將其鎖定，從而阻止用戶向玩具發(fā)送任何命令。實際上，已經(jīng)出現(xiàn)過涉及類似的真實案例（黑客攻擊智能情趣用品：Your cock is mine now）

智能情趣玩具有許多功能：通過Internet進行遠程控制，群聊，圖片，視頻會議，與歌曲或有聲讀物的同步，以及與智能助手連接的功能。

在架構(gòu)方面，大多數(shù)這些設(shè)備都可以通過智能手機上安裝的應(yīng)用程序通過低功耗藍牙（BLE）進行控制。這個應(yīng)用程序可以在設(shè)備上進行各項參數(shù)設(shè)置，并控制用戶的身份驗證過程。

情趣玩具連接到云服務(wù)器，服務(wù)器存儲用戶的各類相關(guān)信息。云服務(wù)鏈接情趣玩具用戶之間聊天，視頻和文件傳輸?shù)裙δ埽�甚至可以將設(shè)備的控制權(quán)限授權(quán)給遠程的另一個用戶。

圖1.智能性玩具的體系結(jié)構(gòu)

這種體系結(jié)構(gòu)中有幾個環(huán)節(jié)可能存在風(fēng)險，被攻擊者利用竊取通信數(shù)據(jù)：攔截控制應(yīng)用程序與設(shè)備之間，應(yīng)用程序與云服務(wù)器之間，遠程s設(shè)備與云服務(wù)器之間的通信，或直接攻擊云服務(wù)器。

盡管開發(fā)人員已經(jīng)對通信連接進行了多重安全審查，但調(diào)查表明，有一些設(shè)備還是存在漏洞，威脅到數(shù)據(jù)的安全性，甚至用戶的隱私信息。

可以想象，情趣玩具處理的信息極為敏感性：私密的照片和視頻，姓名，性取向或性伴侶的名單，有關(guān)設(shè)備使用的信息–如果這些信息泄露，可能會給您巨大的困擾甚至損失。

除了擔(dān)心隱私外，智能性玩具也可能受到常規(guī)形式的網(wǎng)絡(luò)攻擊。

比如利用應(yīng)用程序中的漏洞，攻擊者可以發(fā)起DoS（拒絕服務(wù)）攻擊，導(dǎo)致無法控制玩具，或者執(zhí)行惡意軟件，甚至是故意修改參數(shù)，對用戶造成身體傷害（例如設(shè)備過熱）。

最后，如果攻擊者未經(jīng)同意就能夠控制該情趣玩具，并發(fā)送指令到該設(shè)備，將會帶來什么后果？

通過情趣玩具的對人造成的侵犯是否構(gòu)成犯罪，可能導(dǎo)致性侵犯指控？

這項研究的目的是確定為控制主要性娛樂設(shè)備品牌銷售的最受歡迎模型而創(chuàng)建的Android應(yīng)用程序的安全級別，并確定它們在多大程度上確保用戶數(shù)據(jù)的機密性。該分析基于兩個模型：Lovense的Max和We-Vibe Jive。

以下各節(jié)詳細介紹了我們?yōu)槊總�應(yīng)用程序和設(shè)備發(fā)現(xiàn)的一些安全問題。兩位開發(fā)人員都收到了有關(guān)該漏洞的詳細報告以及如何修復(fù)這些漏洞的建議。在本文發(fā)布時，所有漏洞已得到解決。我們要感謝WOW Tech Group和Lovense在處理所報告問題方面的合作。

由于在此協(xié)議中外圍設(shè)備需要不斷地宣布其連接，以便用戶可以連接到它，因此任何人都可以使用簡單的藍牙掃描儀在附近找到這些設(shè)備。

圖2.通過藍牙掃描儀發(fā)現(xiàn)附近可用的性玩具

圖2顯示了使用移動藍牙掃描儀可以輕松找到這些設(shè)備。在掃描儀中，我們可以看到Jive和Max以及詳細信息。Jive宣布其型號名稱，使其易于識別。同樣，其信號功率為-69 dBm。當(dāng)掃描儀接近設(shè)備時，此功率級別將增加，從而可以找到其所有者。

Jive和Max都使用“ Just Works”方法進行配對，這是所有BLE配對方法中安全性最低的方法。在這種方法中，將設(shè)備在配對第二階段使用的臨時密鑰設(shè)置為0，然后設(shè)備將在此基礎(chǔ)上生成短期密鑰的值。此方法對中間人（MitM）攻擊廣泛開放，因為任何設(shè)備都可以使用0作為臨時密鑰進行連接。實際上，這意味著Jive和Max會自動與任何要求他們這樣做的手機，平板電腦或計算機綁定，而無需執(zhí)行任何驗證或身份驗證。

在以下概念驗證中，BtleJuice框架和兩個BLE加密狗用于在用戶和Jive之間復(fù)制MitM攻擊。在這種模擬情況下，攻擊者首先控制Jive，由于缺少身份驗證，該Jive可以直接連接到該Jive，然后宣布一個虛擬Jive設(shè)備，該設(shè)備是根據(jù)原始Jive宣布的信息進行設(shè)置的。接下來，當(dāng)用戶決定連接到玩具時，用戶的設(shè)備實際上將連接到攻擊者宣傳的假設(shè)備。然后，攻擊者可以通過BtleJuice Web界面捕獲用戶發(fā)送給玩具的所有數(shù)據(jù)包，從而獲得有關(guān)使用模式，振動強度等的信息。攻擊者還可以編輯截獲的命令，更改振動模式或強度，或生成自己的命令并將其發(fā)送給玩具，對于Jive設(shè)備，由于存在這樣的事實，即增加了這些風(fēng)險，因為它是可穿戴設(shè)備，旨在使用戶能夠在白天，餐館，聚會，酒店或任何其他公共場所隨身攜帶該設(shè)備地點。

Lovense應(yīng)用程序的遠程控制功能選項列表包括生成https://api2.lovense.com/c/ 格式的URL的選項，其中是四個字母數(shù)字字符的組合。這使遠程用戶只需在其瀏覽器中輸入URL即可控制設(shè)備。

出乎意料的是，對于這樣的短令牌，其可能的組合相對較少（下載量超過一百萬的應(yīng)用中有1,679,616個可能的令牌），服務(wù)器沒有針對暴力攻擊的保護措施。

當(dāng)使用不存在的令牌進行查詢時，服務(wù)器將重定向到/ redirect并返回JSON消息{“ result”：true，“ code”：404，“ message”：“找不到頁面”}}。但是，如果令牌有效，則服務(wù)器將重定向到格式為https：// [apps | api2] .lovense.com / app / ws / play / 的另一個URL，而該URL又將重定向到https：// [apps | api2] .lovense.com / app / ws2 / play / ，其中是會話ID：類似于MD5的字符串，用于標(biāo)識用戶以及為其創(chuàng)建設(shè)備的ID。令牌在其時限（大約30分鐘）內(nèi)到期，或者在經(jīng)歷了整個重定向過程之后訪問了最終URL時，該令牌就會過期。但是，一些令牌在半小時結(jié)束后仍保持活動狀態(tài)，即使是幾天也是如此。

由于可以根據(jù)服務(wù)器的響應(yīng)來區(qū)分有效令牌，活動令牌和過期令牌，因此我們創(chuàng)建了一個概念證明，可以通過蠻力找到有效令牌。在視頻中，我們首先列出了數(shù)十個令牌：我們使用設(shè)備創(chuàng)建了其中一些令牌，然后添加了其他隨機令牌。我們的設(shè)備生成的大多數(shù)令牌已經(jīng)過期，但其中一個仍處于活動狀態(tài)。然后，我們編寫了一個簡單的Python腳本，并將其用于這組標(biāo)記。當(dāng)此腳本找到有效的令牌時，它將在瀏覽器中打開最終URL，并借助我們?yōu)榇四康脑O(shè)計的Chrome擴展程序來檢查會話是否已過期。如果發(fā)現(xiàn)會話處于活動狀態(tài)，它將通過Telegram機器人將消息發(fā)送到指定的帳戶，并向其通知找到的新控制面板。

與供應(yīng)商一起，我們能夠確認(rèn)可以使用蠻力從隨機用戶那里找到代幣。這是一個非常嚴(yán)重的漏洞，因為它使攻擊者可以在未經(jīng)用戶同意或不知情的情況下，輕松地對希望通過活動令牌進行連接的設(shè)備進行遠程劫持。

關(guān)于控制這些玩具的應(yīng)用程序（Lovense Remote和We-Connect），發(fā)現(xiàn)了一些有爭議的設(shè)計選擇，這些選擇可能會威脅到用戶的隱私。這可能是非常危險的，因為許多用戶通過在線共享令牌來授予對設(shè)備的控制權(quán)，以使陌生人完整，這是個人喜好或作為“ cam girl / boy”服務(wù)的一部分。

在Lovense Remote中，沒有端到端加密，沒有禁用屏幕截圖，聊天中的“刪除”選項實際上并未刪除遠程電話中的消息，并且用戶可以在沒有警告的情況下下載和轉(zhuǎn)發(fā)其他人的內(nèi)容被發(fā)送到內(nèi)容創(chuàng)建者。同樣，每個電子郵件地址在每次聊天涉及的所有電話之間共享，并以純文本格式存儲在許多位置，例如共享的首選項文件wear_share_data.xml。因此，惡意用戶可以找到與任何給定用戶名關(guān)聯(lián)的電子郵件地址，反之亦然。

最后，Lovense Remote不會為固件更新實現(xiàn)證書固定。并且由于解密密鑰存儲在應(yīng)用程序的代碼中，因此攻擊者創(chuàng)建腳本來攔截數(shù)據(jù)包并將受害者重定向到攻擊者的惡意URL以下載偽造的固件升級將相對簡單。

在We-Connect應(yīng)用程序中，敏感元數(shù)據(jù)沒有在發(fā)送之前從文件中剝離，這意味著用戶在與其他用戶進行性愛時可能會無意間發(fā)送有關(guān)其設(shè)備及其確切地理位置的信息。最后，通過使用不良的USB（概念證明），可以很容易地強制使用四位數(shù)的PIN來訪問應(yīng)用程序。

智能情趣玩具已經(jīng)逐漸被大眾接受，在95后年輕群體，甚至是一種時尚潮流，已經(jīng)成為“兩性健康”產(chǎn)業(yè)的重要組成部分。

與其他任何物聯(lián)網(wǎng)設(shè)備一樣，沒有100%的安全解決方案。

其實用戶的安全意識對于數(shù)據(jù)保護至關(guān)重要，因此，教育消費者情趣玩具相關(guān)的安全知識和隱私風(fēng)險成為當(dāng)務(wù)之急。

對于開發(fā)人員而言，犧牲部分系統(tǒng)安全性，而加快開發(fā)速度，節(jié)約研發(fā)成本已達到提高產(chǎn)品市場競爭力的選擇是一定不可取的。