Lovense 是一家专注于 智能远程情趣玩具 的科技公司,成立于 2013年,总部位于 塞浦路斯,研发团队分布在全球多个国家(包括中国深圳)。其产品以 蓝牙/Wi-Fi 连接、App远程控制、互动体验 为核心特色,主打成人科技(Sex Tech)领域。专注于智能情趣玩具的品牌,其产品以远程控制、互动性和高科技体验为特色。旗下有男性,女性,情侣等系列玩具。
据行业媒体和电商数据分析,Lovense 年营收可能在 数千万美元 级别。Lush 系列(如Lush 3):累计销量可能超 百万台(长期占据亚马逊“远程振动蛋”品类榜首)。 Hush 2(肛门振动球):男性/情侣用户增长快,部分渠道单月销量达 5000+台。 Max 2/Domi 2:常年位居同类产品全球销量Top 10。
根据爆料:漏洞泄露用户的真实邮件地址:
研究人员在使用 Lovense 应用程序时发现其中存在的安全漏洞,任何使用网络分析工具的用户都可以看到与之交互的用户的电子邮件地址(注:不需要添加好友)。漏洞发生原因则是 Lovense 将用户名与电子邮件关联,所以即便你起个乱码名字也可能会被其他人发现真实邮箱进而定位到真实身份。
接管用户账户并控制性玩具:
第二个漏洞是涉及到接管 Lovense 账户的,借助漏洞任何人都可以创建身份验证令牌直接访问特定的 Lovense 账户,不需要密码和其他验证。
研究人员称如果用户使用的性玩具连接到互联网 (使用 Lovense 配套应用连接),则攻击者可以借助身份验证令牌漏洞直接访问用户账户进而远程控制性玩具,这可能会在真实世界里造成伤害。
BobHacker 强调任何人只需要知道 Lovense 的电子邮件地址就可以接管账户并发起控制,相较于前一个漏洞来说,这个漏洞造成的危害可能会更大。
有其他研究人员提交漏洞被忽略:
Lovense 则回应称目前接管账户的令牌安全问题已经修复,至于泄露用户真实电子邮件的漏洞还在修复中,预计会下周推送更新给所有用户用于修复漏洞。
其实不仅仅是Lovense 这类产品,任何一种支持远程控制类产品都要做好安全防控,否则都会有预料不到的风险。
原创文章,作者:爱运营,如若转载,请注明出处:https://www.iyunying.org/news/354004.html
