網際網路使男性貞操籠子可以遠端鎖定駭客

研究人員今天披露，一款支援網際網路的男性貞操裝置存在一個安全漏洞，駭客可以遠端控制該裝置，並永久鎖定佩戴者。...

研究人員今天披露，一款支援網際網路的**貞操裝置存在一個安全漏洞，駭客可以遠端控制該裝置，並永久鎖定佩戴者。

由中國公司Qiui建造的牢房伴侶貞操籠允許使用者將自己***的訪問權交給伴侶，伴侶可以透過應用程式遠端鎖定和解鎖貞操籠。但英國安全公司Pen Test Partners稱，該應用程式設計中的多重缺陷意味著“任何人都可以遠端鎖定所有裝置，阻止使用者釋放自己”。

更糟糕的是，由於貞操籠子沒有手動覆蓋或物理鍵，鎖定使用者幾乎沒有選擇爆發。一種是切斷籠子的硬化鋼製鉤環，這種操作需要螺栓切割機或角磨機，而且由於鉤環緊緊地固定在佩戴者的睪丸周圍，這一操作變得更加棘手。另一種是pentestpartners發現的，用3伏特的電（大約相當於2節AA電池）使控制鎖電機的電路板過載。

TechCrunch最先報道了這一安全漏洞的訊息，它表明在購買具有更私密用例的“智慧”小工具之前，值得做一番研究。

pentestpartners的安全研究員Alex Lomas透過直接訊息告訴Verge：“在許多物聯網領域發現這樣的問題並不罕見，遠端診斷也不例外。”。“我們自己和其他研究人員多年來在不同的性玩具**商身上都發現了類似的問題。我個人確實覺得，最私密的裝置應該比你的燈泡有更高的標準。”

過去在網際網路**玩具中發現的安全漏洞讓駭客有可能劫持一個假**的直播錄影，並控制藍芽對接插頭。您可以在下面看到一段解釋筆測試合作伙伴缺陷的影片：

以牢房伴侶貞操籠為例，該裝置的**商似乎對這一缺陷反應異常遲鈍。Pen Test Partners的研究人員說，他們在4月份首次向Qiui披露了這一問題，並得到了快速回復，但該公司並沒有完全解決這一漏洞，此後就停止回覆電子郵件。我們已經聯絡了邱伊瞭解更多，如果我們得到回覆，我們會更新這個故事。

這些缺陷源於一個API，該API用於貞操籠子與其移動應用程式之間的通訊。這不僅使駭客能夠遠端控制裝置，還可以獲得資訊，包括位置資料和密碼。邱毅在6月份更新了貞操牢籠的應用程式來修復這個漏洞，但是沒有更新應用程式的使用者仍然容易受到攻擊。

正如洛馬斯向《邊緣》雜誌解釋的那樣，奎伊有點為難。如果它完全禁用舊的API，它將修復安全漏洞，但有可能鎖定尚未更新應用程式的使用者。但是，透過保留原始API的功能，老版本的應用程式將繼續工作，安全漏洞完好無損。pentestpartners說，在與Qiui討論了幾個月之後，它和發現同樣問題的其他獨立研究人員決定公開，以鼓勵更徹底的解決方案。該公司表示，它對該漏洞的描述也掩蓋了其阻止駭客利用該漏洞的確切性質。

不過，正如TechCrunch所指出的，這個特殊的缺陷似乎是獄友的最小問題。蘋果應用商店（Apple's App Store）和谷歌遊戲商店（Google's Play Store）對這款**應用的評論包括許多失望的使用者的抱怨，他們說這款應用經常會隨意停止工作。

“應用程式三天後完全停止工作，我被卡住了！“寫入一個使用者。“這是危險軟體，不要把自己鎖在裡面！另一個一星評論寫道：“應用程式在更新後停止開啟。考慮到人們對它的信任，這真是太可怕了，網站上也沒有任何解釋。”第三個人抱怨說：“我的搭檔被關起來了！這是荒謬的，因為仍然不知道如果被修復為沒有新的答覆，從電子郵件。太危險了！太可怕了！考慮到應用程式控制的內容，它需要可靠。”

那麼，人們在購買支援網際網路的性玩具時，該如何避免這種安全漏洞呢？洛馬斯說，不幸的是，在購買這些產品時沒有保證。“僅僅透過檢視一個產品或應用程式，就很難判斷它是否安全地儲存了您的資料，或者它們是否捕獲了詳細的使用資訊等等，”他說。但是一個好的開始就是在你購買之前做你的研究。

洛馬斯說：“希望一些國家和州在未來開始推出物聯網產品的標準，但與此同時，他們會搜尋‘產品名稱+漏洞’，或者在供應商網站上尋找談論安全的頁面（而不僅僅是‘軍事級加密’的舊比喻！）”