Pesquisadores da empresa britânica de segurança da informação Pen Test Partners descobriram uma séria vulnerabilidade no cinto de castidade eletrônico Qiui Cellmate para homens, que é comercializado como “o primeiro dispositivo de castidade controlado por aplicativo do mundo”. A vulnerabilidade pode ser usada para bloquear completamente o dispositivo, após o que não será possível removê-lo sem intervenção física.
Imagem: Qiui
Qiui Cellmate é um cinto de castidade para homens e permite que um parceiro bloqueie e desbloqueie remotamente o dispositivo no pênis usando um aplicativo especial que envia comandos ao dispositivo via Bluetooth. Descobriu-se que o aplicativo usa uma API não segura para interagir com o dispositivo e, depois de obter acesso a ela, é possível interceptar o controle do cinto de castidade e bloqueá-lo. Uma vulnerabilidade de API também abre acesso a mensagens privadas no aplicativo complementar e aos dados de localização do usuário.
Vale ressaltar que em caso de bloqueio, não será possível retirar o dispositivo sem intervenção física. Os especialistas apontam que, para remover um cinto de castidade Qiui Cellmate bloqueado, pode ser necessária uma rebarbadora ou um cortador de parafuso potente.
Pela primeira vez, a vulnerabilidade se tornou conhecida em junho deste ano e, desde então, o fabricante do cinto de castidade passou a usar uma API mais confiável que é usada em novos dispositivos. No entanto, os usuários de cintos mais antigos continuam a se colocar em perigo, pois o controle do dispositivo pode cair nas mãos erradas a qualquer momento. O desenvolvedor prometeu consertar a vulnerabilidade em agosto, mas ela ainda permanece relevante. Portanto, os pesquisadores decidiram publicar os resultados de seus trabalhos.
Não se sabe se a vulnerabilidade da API foi explorada por invasores na prática. Com base no feedback do usuário, pode-se concluir que o Qiui Cellmate usa um software “bruto” que é instável e trava intermitentemente, devido ao qual o cinto de castidade é temporariamente bloqueado sem comando do usuário.
\nNo contexto de ganhar dinheiro alugando sua própria IA, a SpaceX tem sido a empresa…
\nASML anunciou uma recompensa única para colaboradores em todo o mundo no valor de 20…
\nO TikTok começou a testar uma nova ferramenta que permite aos criadores encontrar deepfakes de…
No dia 17 de julho, os clientes da nuvem AWS receberam por e-mail faturas preliminares…
\nJogado no PC\n\nO DLC Revelations saiu com um histórico de informações extremamente difícil - os…
\nO insider Evan Blass publicou imagens do Samsung Galaxy Z Fold8 poucos dias antes da…