Братислава – уязвимости в умных секс-игрушках могут подвергнуть пользователей риску утечки данных и атак, как кибер -, так и физических, говорится в новой Белой книге глобальных экспертов по кибербезопасности ESET. Секс в цифровую эпоху - насколько безопасны умные секс-игрушки? отчет исследует потенциальные недостатки безопасности и безопасности подключенных секс-игрушек и включает в себя углубленный анализ двух популярных устройств. На фоне продолжающихся социальных ограничений из-за пандемии продажи секс-игрушек быстро выросли, и связанные с этим проблемы кибербезопасности не должны быть упущены из виду.
По мере того как новые, технологически продвинутые модели секс-игрушек выходят на рынок, включая мобильные приложения, обмен сообщениями, видеочат и веб-соединение, устройства становятся все более привлекательными и доступными для киберпреступников. Последствия утечки данных в этой сфере могут быть особенно катастрофическими, когда утечка информации касается сексуальной ориентации, сексуального поведения и интимных фотографий.
Исследователи ESET обнаружили уязвимости в приложениях, контролирующих обе исследуемые умные секс-игрушки. Эти уязвимости могут привести к вредоносных программ, которые будут установлены на подключенный телефон, прошивка должна быть изменена в игрушки, или даже устройством намеренно изменены, чтобы нанести физический вред пользователю.
Для решения этих угрозах и выяснить, как обеспечить "умные" игрушки, Есет исследователи проанализировали два бестселлера игрушки для взрослых на рынке: мы вибрируем ‘Джайв и Lovense ‘максимум’. Аналитики загрузили приложения поставщиков, доступные в магазине Google Play для управления устройствами (We-Connect и Lovense Remote) и использовали фреймворки анализа уязвимостей, а также методы прямого анализа для выявления недостатков в их реализации.
Как носимое устройство, We-Vibe Jive склонен к использованию в небезопасных условиях. Было обнаружено, что устройство постоянно объявляет о своем присутствии, чтобы облегчить соединение – это означает, что любой, у кого есть сканер Bluetooth, может найти устройство поблизости, на расстоянии до восьми метров. Затем потенциальные злоумышленники могли идентифицировать устройство и использовать силу сигнала, чтобы направить их к владельцу. Официальное приложение производителя не требуется для получения контроля, так как большинство браузеров предлагают функции, облегчающие это.
Jive использует наименее безопасный из методов сопряжения BLE, при котором временный код ключа, используемый устройствами во время сопряжения, устанавливается равным нулю, и поэтому любое устройство может подключаться, используя ноль в качестве ключа. Вибрация очень уязвима для атак "человек в середине" (MitM), поскольку непарный Джайв может автоматически связываться с любым мобильным телефоном, планшетом или компьютером, который запросит его об этом, без проведения проверки или аутентификации.
Хотя мультимедийные файлы, совместно используемые пользователями во время сеансов чата, сохраняются в личных папках хранения приложения, метаданные файлов остаются в общем файле. Это означает, что каждый раз, когда пользователи отправляют фотографию на удаленный телефон, они также могут отправлять информацию о своих устройствах и их точном геолокационном местоположении.
Макс имеет возможность синхронизации с удаленным аналогом, что означает, что злоумышленник может взять под контроль оба устройства, скомпрометировав только одно из них. Однако мультимедийные файлы не включают метаданные при получении с удаленного устройства, и приложение предлагает возможность настроить четырехзначный код разблокировки с помощью сетки кнопок, что затрудняет атаки грубой силы.
Некоторые элементы дизайна приложения могут угрожать конфиденциальности пользователя, например возможность пересылать изображения третьим лицам без ведома владельца, а удаленные или заблокированные пользователи продолжают иметь доступ к истории чата и всем ранее совместно используемым мультимедийным файлам. Lovense Max также не использует аутентификацию для BLE-соединений, поэтому MitM-атака может быть использована для перехвата соединения и отправки команд для управления двигателями устройства. Кроме того, использование приложением адресов электронной почты в идентификаторах пользователей создает некоторые проблемы конфиденциальности, поскольку адреса передаются в виде обычного текста всем телефонам, участвующим в каждом чате.
Исследователи ESET Дениз Джусто и Сесилия Пасторино предупреждают: “существуют меры предосторожности, которые необходимо принять, чтобы гарантировать, что умные секс-игрушки разрабатываются с учетом кибербезопасности, особенно из-за серьезности потенциальных опасностей. Хотя безопасность, по-видимому, не является приоритетом для большинства взрослых устройств в настоящее время, есть шаги, которые люди могут предпринять, чтобы защитить себя, например, избегать использования устройств в общественных местах или местах с проходящими людьми, таких как отели. Пользователи должны держать любую умную игрушку подключенной к своему мобильному приложению во время использования, так как это помешает игрушке рекламировать свое присутствие потенциальным субъектам угрозы. По мере развития рынка секс-игрушек производители должны постоянно помнить о кибербезопасности, поскольку каждый имеет право использовать безопасные и безопасные технологии”.
МойОфис представил масштабное обновление версии 3.3 для настольных, мобильных и веб-редакторов документов. В новом релизе значительно расширены возможности анализа данных: улучшена работа со сводными таблицами, внедрены функции фильтрации и сортировки, а также создания и настройки диаграмм. Эти обновления повышают эффективность работы с данными в продуктах МойОфис и помогают пользователям принимать обоснованные решения
Компания «Увеон – облачные технологии» (входит в «Группу Астра») представила контроллер доставки приложений Termidesk Connect — решение для балансировки нагрузки, повышения отказоустойчивости и масштабирования ИТ-сервисов. Продукт полностью заменяет зарубежные аналоги, такие как Citrix и F5 и располагает современными инструментами для управления высоконагруженными инфраструктурами даже при стремительном росте числа пользователей.
Эксперты компании «Киберпротект» и деловой социальной сети TenChat провели исследование среди пользователей, посвящённое безопасности пожилых людей в интернете. Аналитики выяснили, как часто люди в возрасте 60+ лет сталкиваются с онлайн- угрозами, как они и их родственники противодействуют им, а также, какие риски наиболее актуальны для них
Итоги работы Content AI в 2024 году: финансовый рост, важные проекты, интенсивная разработка продуктов, плодотворная работа с партнерами и изменения в структуре собственности компании.Генеральный директор Content AI Светлана Дергачева поделилась наиболее значимыми событиями прошедшего года и планами на 2025 год, рассказала о трендах, влиянии ИИ на отрасль и о дальнейшем его применении во флагманских продуктах компании
Вирусные аналитики «Доктор Веб» предупреждают о появлении новых версий банковского трояна NGate, нацеленных на российских пользователей. Этот троян передает данные с NFC-чипа скомпрометированного устройства, позволяя злоумышленнику снимать деньги со счетов жертвы в банкоматах без какого-либо участия с её стороны
Цель злоумышленников — кибершпионаж. С 2024 года группа SideWinder стала совершать сложные целевые кибератаки (APT) на объекты атомной отрасли в Южной Азии, включая АЭС и агентства по атомной энергии. Это обнаружили эксперты Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского»). Цель злоумышленников — кибершпионаж. При этом группа существенно расширила географию своей деятельности: атаки были зафиксированы в странах Африки, Юго-Восточной Азии, а также в некоторых частях Европы.
Киберугроза актуальна для российских пользователей
К настоящему моменту для них выпущены обновления. Уязвимости, которым присвоены идентификаторы CVE-2024-39432 и CVE-2024-39431, найдены в чипах Unisoc, широко используемых в устройствах в России, Азии, Африке и Латинской Америке ― смартфонах, планшетах, автомобилях и телекоммуникационном оборудовании. Обнаруженные бреши позволяют обходить меры безопасности и получать неавторизованный удалённый доступ к процессору приложений (Application Processor) через модем, встроенный в SoC (System on Chip). Подробности были представлены на международной конференции Security Analyst Summit на Бали.
Ваши контактные данные не публикуются на сайте.