Greška u sustavu sigurnosti na digitalnom 'lokotu čednosti' za muškarce, omogućila je hakerima da iz daljine sve lokote koji su tog trenutka bili u upotrebi, simultano zaključaju, piše BBC.
Uređaj povezan internetom ne može se otvoriti ručno, pa su vlasnici ove naprave bili primorani lokot sa sebe skidati brusilicom ili rezačem lima.
Aplikaciju ove seksualne igračke u međuvremenu su njezini kineski proizvođači popravili i to nakon što je nekoliko britanskih stručnjaka za sigurnost upozorilo da ima manu.
Također, objavili su kako doskočiti takvim problemima što bi moglo biti korisno svima koji još uvijek koriste staru verziju aplikacije i koji se nađu zaključani zbog napada hakera.
Svaki drugačiji pokušaj da se naprava skine, mogao bi rezultirati ozljedama.
Pen Test Partners (PTP), tvrtku za kibernetsku sigurnost sa sjedištem u Buckinghamu koja je bila uključena u čitav slučaj, bije glas da otkriva ovakve neobične slučajeve, uključujući i probleme s nekim drugim seksualnim igračkama u prošlosti.
Iz PTP-a poručuju da ovo najnovije otkriće ukazuje na to da proizvođači 'pametnih' proizvoda na temu igračaka za odrasle, još uvijek moraju naučiti mnogo lekcija.
'Problem je u tome što proizvođači takvih igračaka ponekad žure svoje proizvode pogurati na tržište', komentirao je Alex Lomas, istraživač u tvrtki. 'Najčešće je problem otkrivanje osjetljivih osobnih podataka, ali u ovom slučaju možete biti fizički zaključani.'
Brava i stezaljka
Qiuijev Cellmate lokot čednosti prodaje se na internetu po cijeni od oko 190 američkih dolara i reklamira se kao način da vlasnici daju svom partneru kontrolu nad pristupom svom tijelu.
Pen Test Partners (PTP) vjeruju da je prodano oko 40.000 uređaja na temelju broja ID-ova koje je dodijelio njegov tvorac sa sjedištem u Guangdongu.
Lokot se bežično povezuje sa pametnim telefonom putem Bluetooth signala koji se koristi za aktiviranje mehanizma zaključavanja i stezanja uređaja.
Ali da bi se to postiglo, softver se oslanja na slanje naredbi na računalni server koji koristi proizvođač.
Stručnjaci za sigurnost rekli su da su otkrili način kako da zavaraju server kako bi, između ostalih osobnih podataka, otkrio registrirano ime svakog vlasnika uređaja kao i koordinate svakog mjesta s kojeg je aplikacija korištena.
Uz to, kažu da bi mogli otkriti jedinstvene kodove koji su dodijeljeni svakom uređaju.
Pomoću njih mogu učiniti da server ignorira zahtjeve aplikacija za otključavanje bilo koje identificirane igračke, a njihove nositelje ostavlja zaključanima.
Tim gospodina Lomasa prijavio je problem Qiuiju u svibnju, nakon čega je ovaj ažurirao svoju aplikaciju kao i sučelje aplikacijskog programiranja (API) na serveru.
No, ipak su raniju verziju API-ja ostavili na mreži, što znači da su oni koji nisu preuzeli najnoviju verziju aplikacije, teoretski ostali u opasnosti.
Pen Test Partners (PTP) putem e-maila su tražili da se to riješi i u čitavu priču uključili web stranicu Techcrunch kako bi pomogli pogurati rješavanje problema.
Techcrunch kaže da je Qiuijev izvršni direktor naknadno rekao da je pokušao riješiti problem, no usput dodao da se pojavljuju novi problemi kad se riješi ovaj prvi.
Pet mjeseci nakon prvog stupanja u kontakt s kineskom tvrtkom, britanski sigurnosni tim odlučio je izaći u javnost.
'S obzirom na trivijalnu prirodu pronalaska nekih od ovih problema i činjenicu da Qiui radi na drugom internom uređaju, osjećali smo se primoranima objaviti ovo', rekao je gospodin Lomas.
Pen Test Partners (PTP) priznali su da je zbog ovoga, međutim, vjerojatniji napad iz stvarnog svijeta.
BBC je zatražio komentar od tvrtke Qiui.
Techcrunch je izvijestio da nema dokaza da je bilo tko iskoristio hakiranje kako bi nekome nanio štetu.
No, primijetio je da je jedan internetski recenzent, koji je izgleda bio zaključan zbog nevezane programske pogreške, objavio da mu je nakon svega ostao 'gadan ožiljak kojem je trebalo gotovo mjesec dana da zacijeli'.