Pesquisadores da empresa britânica de segurança da informação Pen Test Partners descobriram uma séria vulnerabilidade no cinto de castidade eletrônico Qiui Cellmate para homens, que é comercializado como “o primeiro dispositivo de castidade controlado por aplicativo do mundo”. A vulnerabilidade pode ser usada para bloquear completamente o dispositivo, após o que não será possível removê-lo sem intervenção física.

Imagem: Qiui

Qiui Cellmate é um cinto de castidade para homens e permite que um parceiro bloqueie e desbloqueie remotamente o dispositivo no pênis usando um aplicativo especial que envia comandos ao dispositivo via Bluetooth. Descobriu-se que o aplicativo usa uma API não segura para interagir com o dispositivo e, depois de obter acesso a ela, é possível interceptar o controle do cinto de castidade e bloqueá-lo. Uma vulnerabilidade de API também abre acesso a mensagens privadas no aplicativo complementar e aos dados de localização do usuário.

Vale ressaltar que em caso de bloqueio, não será possível retirar o dispositivo sem intervenção física. Os especialistas apontam que, para remover um cinto de castidade Qiui Cellmate bloqueado, pode ser necessária uma rebarbadora ou um cortador de parafuso potente.

Pela primeira vez, a vulnerabilidade se tornou conhecida em junho deste ano e, desde então, o fabricante do cinto de castidade passou a usar uma API mais confiável que é usada em novos dispositivos. No entanto, os usuários de cintos mais antigos continuam a se colocar em perigo, pois o controle do dispositivo pode cair nas mãos erradas a qualquer momento. O desenvolvedor prometeu consertar a vulnerabilidade em agosto, mas ela ainda permanece relevante. Portanto, os pesquisadores decidiram publicar os resultados de seus trabalhos.

Não se sabe se a vulnerabilidade da API foi explorada por invasores na prática. Com base no feedback do usuário, pode-se concluir que o Qiui Cellmate usa um software “bruto” que é instável e trava intermitentemente, devido ao qual o cinto de castidade é temporariamente bloqueado sem comando do usuário.

avalanche

Postagens recentes

Em meio ao boom da IA, a ASML emitirá bônus em ações no valor de € 20.000 para todos os funcionários

\nASML anunciou uma recompensa única para colaboradores em todo o mundo no valor de 20…

4 horas atrás

TikTok começou a testar uma ferramenta para detectar deepfakes de IA nas aparências dos usuários

\nO TikTok começou a testar uma nova ferramenta que permite aos criadores encontrar deepfakes de…

4 horas atrás

Erro: a AWS cobrou bilhões e trilhões de dólares dos clientes devido a problemas de faturamento

No dia 17 de julho, os clientes da nuvem AWS receberam por e-mail faturas preliminares…

7 horas atrás

DOOM: A Idade das Trevas – Revelações. Sem revelações. Análise

\nJogado no PC\n\nO DLC Revelations saiu com um histórico de informações extremamente difícil - os…

9 horas atrás