セキュリティ

男性器をBluetooth経由でロックできるスマート貞操帯に「攻撃者によってリモートから完全にロックされる脆弱性」が判明


Bluetoothを介してスマートフォンと接続してリモート操作が可能な男性向けのスマート貞操帯に「セキュリティ上の欠陥」が発見され、悪意ある攻撃者がリモートで制御すると、着用したら二度と外れないようにできてしまうことが判明しました。

Smart male chastity lock cock-up | Pen Test Partners
https://www.pentestpartners.com/security-blog/smart-male-chastity-lock-cock-up/


Locked In An Insecure Cage
https://internetofdon.gs/qiui-chastity-cage/


Internet-enabled male chastity cage can be remotely locked by hackers - The Verge
https://www.theverge.com/2020/10/6/21504019/internet-enabled-male-chastity-cage-cellmate-qiui-security-flaw-remotely-locked

問題となっているのは、性玩具メーカーのQiuiが出している「Cellmate Chastity Cage」というスマート貞操帯です。


Qiuiが「真の貞操体験とは着用者が自分でコントロールできないようにすることだと考えています」と述べている通り、Cellmate Chastity Cageには物理的な鍵はなく、スマートフォンのアプリから制御しない限り外れないようになっています。また、防水・防じん規格はIPX7で、つけたままシャワーも浴びることができるそうです。


しかし、イギリスのセキュリティ企業であるPen Test Partnersは、このCellmate Chastity Cageとスマートフォンアプリ間の通信に使用されるAPIの欠陥によって、Cellmate Chastity Cageをユーザー以外でもリモートで制御可能となってしまう可能性があると指摘しています。

Cellmate Chastity Cageは金属製のリングに男性器を通して固定する仕組みとなっているため、アプリを使わずに取り外すには、Cellmate Chastity Cageに内蔵されているモーターを直接駆動させて電気式のロックを解除するか、あるいは「繊細で敏感な領域」のすぐ近くで金属リングをグラインダーで切削する必要があり、Pen Test Partnersは「ロックされて外れなくなったCellmate Chastity Cageを解除するのは非常に危険」としています。


実際にCellmate Chastity Cageの回路をハックして、ロックに使われているモーターを直接駆動させるところを以下のムービーで見ることができます。

CellMate Teardown - YouTube


また、Pen Test Partnersによれば、すべてのAPIエンドポイントは、リクエストを行うためにメンバーコードのみで認証しており、このメンバーコードがユーザーがサービスに登録した日付に基づいて決定されていたとのこと。また、わずか6桁のフレンドコードを使ってリクエストを要求すると、ユーザーの名前、電話番号、誕生日、アプリ登録時の位置情報、メンバーコード、暗号化されていないユーザーのパスワードなどの情報が引き出せてしまったそうです。

Qiuiは2020年6月にアプリを更新してこの脆弱性を修正しましたが、アプリをアップデートしていないユーザーは依然として「永遠に貞操帯をつける危険性」に脅かされているといえます。Pen Test PartnersはQiuiに幾度となくメッセージを送ったものの、2020年6月からは一切応答がなく、連絡が途絶えてしまったそうです。2020年9月に偶然同じ脆弱性に気づいた別のセキュリティ研究者とも相談した結果、Pen Test Partnersはこの情報を公開するに至ったとのこと。

Pen Test Partnersは、「今回の事例は、多くの大人のおもちゃメーカーは、プライバシーとセキュリティをほぼ完全に無視していることを示しています」と述べ、現実的な脅威として個人情報漏えいのリスクが攻撃者に悪用される可能性が高いと警鐘を鳴らしています。

この記事のタイトルとURLをコピーする

・関連記事
男性のペニスに取り付けてそのままHD撮影&Wi-Fi通信が可能なウェアラブルカメラ「The CockCam」 - GIGAZINE

大人のおもちゃ「アナルプラグ」をハッキングして第三者が自由にコントロール可能に - GIGAZINE

スマホと連動する女性用大人のおもちゃが密かに使用データを収集していたとして訴えられる - GIGAZINE

オナホに瞬間接着剤を仕込まれた男性のペニスがオナホと一体化してしまう - GIGAZINE

大人のおもちゃの制御を標準化するためのオープンソースプロジェクト「Buttplug」 - GIGAZINE

いわゆる「大人のおもちゃ」はこうやって作られている - GIGAZINE

in ハードウェア,   動画,   セキュリティ, Posted by log1i_yk

You can read the machine translated English article here.