Com a evolução da tecnologia, muitos dispositivos passaram a ser conectados à internet. No entanto, alguns deles não deveriam ser, principalmente os que podem causar problemas físicos caso deixem de funcionar. Esse é o caso de uma espécie de cinto de castidade inteligente.
Uma equipe de segurança da empresa Pen Test Partners descobriu que um dispositivo do tipo, chamado Cellmate e criado pela empresa Quiu, era totalmente vulnerável e poderia deixar a pessoa que o vestia presa, sendo necessário que o dispositivo fosse destruído para que saísse do corpo do utilizador.
Anunciado originalmente como o “primeiro dispositivo de castidade controlado por aplicativo do mundo”, a criação permitia que a pessoa travasse e destravasse remotamente o órgão genital.
A comunicação entre o dispositivo e o smartphone de quem tem o controle é feita por uma API. No entanto, essa interface de programação foi deixada aberta e sem qualquer tipo de senha, permitindo que qualquer um assumisse o controle do aparelho usado por usuários aleatórios.
Como a criação foi projetada para travar um anel de metal sob o pênis do usuário, os pesquisadores disseram que, caso uma possível invasão acontecesse e o dispositivo ficasse travado, seriam necessários aparelhos de corte para libertar o utilizador, já que não há uma função de emergência que o abra.
Equipe de pesquisadores descobriu que o dispositivo era vulnerável e poderia ser travado por qualquer usuário que invadisse o sistema. Foto: Quiu/ Divulgação
A API vulnerável também é perigosa para quem utiliza o aplicativo de controle, já que pode fornecer acesso às mensagens privadas trocadas pelo usuário e à localização precisa do smartphone de quem controla o dispositivo.
A descoberta original da vulnerabilidade ocorreu em junho. De lá para cá, os pesquisadores contataram a Qiui e informaram sobre o problema. A empresa retirou do ar a API vulnerável e lançou uma nova. No entanto, apenas novos usuários tiveram acesso à correção, quem já utilizava o app não foi informado de que deveria baixar o update.
Não se sabe se algum cibercriminoso explorou a vulnerabilidade. Porém, há vários comentários na página de download do aplicativo reclamando que o software possuía bugs que faziam com que o dispositivo ficasse bloqueado.
“O aplicativo parou de funcionar completamente após três dias e estou preso”, disse um usuário. Outro confirmou que já ficou “preso duas vezes ao usá-lo devido ao aplicativo defeituoso”.
Um terceiro comentário revela que o aparelho “funcionou por cerca de um mês até que quase fiquei preso nele. Felizmente, ele se desbloqueou aleatoriamente e eu consegui sair. O dispositivo deixou uma marca que demorou quase um mês para sumir”.
O Cellmate se junta a uma longa lista de brinquedos sexuais com problemas de segurança que não existiriam se eles não fossem conectados à internet. Em 2016, pesquisadores descobriram falhas em um dispositivo feminino, que permitia que qualquer pessoa assumisse seu controle. Em 2017, um fabricante desses aparelhos foi acusado de coletar “dados altamente íntimos e confidenciais” de seus usuários.
Via: TechCrunch