Sex toys connessi: rischi e pericoli del piacere digitale

Another ICT Guy

Sex toys connessi: rischi e pericoli del piacere digitale

   News    14 Marzo 2021  |  0

Qualche lettore si ricorderà del caso della cintura di castità smart di Cellmate che, a causa di una vulnerabilità, avrebbe potuto essere stata controllata da chiunque impedendo così al legittimo proprietario di poter riconquistare la propria “intima” libertà. Insomma, un nuovo modo di intendere il concetto di “lockdown”.

Per quanto quella vicenda possa aver strappato più di un sorriso – e ci auguriamo solo quello – l’auspicio fu che rappresentasse anche un campanello d’allarme per le altre realtà operanti nel mercato dei sex toys connessi. Purtoppo, pare, così non è stato: nei giorni scorsi i ricercatori di ESET hanno divulgato una ricerca che fa luce sul grado di sicurezza di questi dispositivi, destando non poca preoccupazione.

Sex toy: connessi sì, ma quanto sicuri?

Certo, l’argomento può sembrare divertente, a tratti imbarazzante e suscitare anche parecchia ironia. Ma, senza voler fare i bacchettoni, diventa opportuno considerare che quando si ha a che fare con dispositivi connessi che interagiscono direttamente con la nostra fisicità, e nel caso specifico anche in un ambito particolarmente delicato e riservato come tutto ciò che attiene alla sfera sessuale, l’aspetto della sicurezza non può passare in secondo piano.

Gli “smart sex toys” offrono oggi molte funzionalità in più rispetto al semplice regalare piacere all’utilizzatore: sono dei veri e propri dispositivi connessi che possono essere controllati tramite app e da remoto su internet. Al pari di qualsiasi altro dispositivo connesso sono quindi potenzialmente vulnerabili a qualsiasi tipo di compromissione e prestare il fianco a varie tipologie di attacco.

ESET evidenzia in particolare due prodotti che paiono essere particolarmente popolari tra chi fa uso di questi oggetti: il vibratore We-Vibe Jive di WOW Tech Group dedicato al pubblico femminile e che può essere collegato tramite Bluetooth all’app We-Connect e controllato quindi anche da terzi, e Lovesense Max dedicato invece al pubblico maschile, anch’esso con la possibilità di collegarsi ad un’app e offrire modalità di controllo anche particolarmente fantasiose come vibrazioni a ritmo di musica o la sincronizzazione con altri dispositivi della stessa categoria.

Per entrambi i dispositivi i ricercatori ESET hanno voluto approfondire l’aspetto della sicurezza delle connessioni tra gli stessi e le rispettive app per Android. Entrambi gli oggetti fanno uso di tecnologia Bluetooth Low Energy che se da un lato permette di contenere efficacemente il consumo energetico, dall’altro presenta qualche problema proprio dal punto di vista della sicurezza.

Per quanto riguarda il vibratore We-Vibe Jive i ricercatori hanno osservato che la raccolta dei dati dell’utente è effettivamente ridotta al minimo, ma viene utilizzata la modalità meno sicura delle opzioni di abbinamento BLE e cioè un codice di pairing temporaneo impostato su 0. Questa impostazione lascia aperta la porta ad attacchi Man-in-the-Middle, consentendo quindi a qualsiasi smartphone, tablet o PC non autenticato di connettersi al dispositivo. Non solo, il vibratore trasmette continuamente la propria presenza per essere rilevabile da altri dispositivi.

Trattandosi di un dispositivo “indossabile” è verosimile immaginare che gli utenti più birichini gradiscano utilizzarlo non solo nel privato della propria cameretta, ma anche quando sono in giro: “Chiunque può utilizzare un semplice scanner Bluetooth per vedere se vi sono dispositivi di questo tipo nelle loro vicinanze. Jive è progettato per consentire all’utente di indossarlo durante la giornata: in ristoranti, feste, hotel o in qualsiasi altro luogo pubblico. In queste situazioni, un utente malintenzionato potrebbe identificare il dispositivo e utilizzare il la potenza del segnale del dispositivo come una bussola per guidarli e avvicinarsi gradualmente fino a trovare la persona esatta che lo indossa” spiega ESET.

L’app We-Connect consente inoltre agli utenti di chattare e di condividere file multimediali durante le sessioni di chat. Questi file vengono eliminati non appena terminiano le comunicazioni, ma lo stesso non succede con i metadati. In altri termini ogni volta che viene inviato un file con esso vengono scambiati anche i dati relativi al dispositivo dell’utente e le informazioni di geolocalizzazione che possono comunque essere recuperati anche una volta terminata una sessione di chat. Un ulteriore problema evidenziato da ESET è la mancanza di protezione da attacchi di tipo bruteforce nella fase di immissione del PIN di accesso all’applicazione.

Per quanto riguarda invece Lovesense Max sono state individuate una serie di scelte di design “controverse” che, secondo ESET, potrebbero compromettere la riservatezza delle immagini che gli utenti condividono tra loro. Ad esempio vi sarebbe la possibilità di scaricare e inoltrare immagini a terze parti senza che il proprietario originale potesse venirne a conoscenza o dare il proprio consenso. I ricercatori evidenziano come l’app di Lovesense Max sfrutti solamente il protocollo HTTPS durante i trasferimenti dei file multimediali e non utilizzi alcun tipo di crittografia end-to-end.

Ma c’è di più: laddove gli scelgono di usare un nickname, l’app usa comunque i loro indirizzi e-mail archiviati in testo semplice per le operazioni di messaggistica. I token, che possono essere condivisi pubblicamente, sono stati generati usando pochi numeri e sono rimasti attivi più a lungo del dovuto, creando una situazione potenzialmente vulnerabile ad attacchi brute force allo scopo di sottrarre e divulgare informazioni riservate. Infine, al pari di Jive, anche Lovesense Max non ha effettuato alcun tipo di autenticazione delle connessioni Bluetooth Low Energy aprendosi quindi al rischio di attacchi Man-in-the-Middle.

Sex toy connessi: attenzione alla privacy

Tutte questi riscontri sono stati comunicati a WOW Tech Group e a Lovesense nel mese di giugno dello scorso anno. Lovesense ha corretto i bug segnalati entro il 27 luglio e attualmente sta lavorando a funzionalità di privacy più avanzate. Con la versione 4.4.1 di We-Connect rilasciata ad agosto sono stati risolti i problemi di PIN e metadati.

“Le conseguenze della violazione di dati in questa sfera possono essere particolarmente disastrose quando le informazioni trapelate riguardano l’orientamento e le abitudini sessuali e le foto intime. L’avanzamento del mercato dei sex toys mette i produttori nella condizione di portare in primo piano la sicurezza informatica, poiche tutti hanno il diritto di utilizzare una tecnologia sicura e protetta” evidenzia ESET.

Altri tempi quelli in cui, almeno per un po’ di autarchico piacere, le precauzioni non erano necessarie…

Fonte: http://feeds.hwupgrade.it/

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

©  2024 Carlo Mauri. Realizzato con WordPress e con il tema Mesmerize