2025-07-30 23:02:33
感谢亚汇网网友koraori、咩咩洋、▲Lovense推出的手机AppBobDaHacker表示,他在3月时发现了这家公司的系统存在安全漏洞,随后他通过HackerOne平台反馈漏洞后得到了3000美元(现汇率约合21541元人民币)的奖励。但Lovense后续表示,他们需要14个月才能修复这些漏洞。研究员并不认可这个说法,因此他按照行业惯例(90天披露原则),在漏洞提交满90天后,将该公司的高危级别安全漏洞细节完全公开。这个漏洞的具体运作方式如下:一、泄露用户的真实邮件地址:BobDaHacker在使用Lovense的App时发现了其存在的漏洞,但这个漏洞较为低级,任何使用网络分析工具的用户都可以看到与之交互的用户的电子邮件地址(不需要添加好友)。研究员使用了账户A和账户B进行举例,他借助网络分析工具抓取流量后发现,Lovense的App直接将用户名与电子邮箱关联,所以即使A账户使用乱码名字,B账户的持有人只要懂点网络知识就可以抓取到A账户持有人的电子邮箱,从而进一步定位真实身份。甚至这种操作流程还可转化为自动化脚本,不到1秒就可以获取到素不相识用户的电子邮箱。二、接管账户并控制玩具:黑客在拿到电子邮箱地址后,借助漏洞即可创建身份验证令牌,不需要密码或其他验证方式即可直接访问Lovense账户。BobDaHacker声称,如果用户使用的成人用品联网且绑定Lovense账户,那么黑客就可以直接访问Lovense账户,进而远程控制成人用品,这可能在现实世界中造成伤害。研究员强调,因为任何人只要知道Lovense账户的电子邮件地址就能接管账户并控制成人用品,所以这个漏洞危害非常大。Lovense的媒体发言人昨天指出:“相关漏洞已经在6月底完全修复,下周将向所有用户推送更新以修复漏洞”。但BobDaHacker对此并不买账,认为Lovense是在撒谎,这些漏洞仍然能复现。亚汇网附该漏洞详情页面如下:广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,亚汇网所有文章均包含本声明。
您正在访问亚汇网香港分站,本站所提供的内容均遵守中华人民共和国香港特别行政区法律法规。
