Une Faille De Sécurité Dans Un Jouet Sexuel Permet Aux Hackers De Coincer Votre Entrejambe

Les failles logicielles dans la cage de chasteté CellMate peuvent permettre à un pirate de récupérer des informations sur l’utilisateur et de contrôler à distance le mécanisme de verrouillage du sextoy, selon les chercheurs en sécurité de PenTest Partners.

Des chercheurs en sécurité ont découvert une vulnérabilité dans un jouet sexuel contrôlé par Internet. Cette vulnérabilité peut être utilisée pour bloquer littéralement l’accès à l’entrejambe du porteur du jouet.

Le jouet sexuel affecté est une cage de chasteté appelée CellMate, qu’un homme peut porter sur ses organes génitaux. La société Chinoise à l’origine du produit s’appelle Qiui. Elle l’a conçu pour que le porteur ou son partenaire puisse verrouiller ou déverrouiller l’accès à la cage de chasteté via Bluetooth à l’aide d’une application mobile par Internet.

C’est censé être un moyen de s’assurer de la fidélité de son partenaire.

Cependant, L’application mobile qui contrôle ce jouet contient une faille: un inconnu peut également verrouiller l’accès à la cage, grâce à des vulnérabilités dans l’API de l’application mobile, selon les chercheurs de PenTest Partners.

L’équipe de sécurité a découvert que l’API souffre d’une vulnérabilité de «référence directe non sécurisée aux objets», ce qui signifie essentiellement que les demandes de données à l’application peuvent être effectuées sans aucune authentification.

En conséquence, PenTest Partners a découvert que vous pouviez extraire les informations personnelles d’un utilisateur quelconque de l’application.

Les données comprenaient leur nom, leur numéro de téléphone, leur date de naissance, le mot de passe en texte brut et les coordonnées GPS exactes du lieu de la dernière ouverture de l’application.

«Il ne faudrait pas plus de quelques jours à un attaquant pour exfiltrer toute la base de données des utilisateurs et l’utiliser à des fins de chantage ou de phishing», a écrit Alex Lomas, chercheur chez PenTest Partners dans son article.

Cela seul était déjà assez mauvais. Cependant, Lomas a remarqué que les failles de l’API permettaient également à quiconque de supprimer les autorisations sur le sextoy CellMate d’un utilisateur, l’empêchant ainsi  de pouvoir verrouiller ou dévérouiller la cage en son temps voulu.

Pour aggraver les choses, la cage de chasteté ne peut être déverrouillée que via l’application mobile. Donc, pour retirer la cage lorsqu’elle a été piratée et verrouillée, le porteur devra couper à travers un anneau métallique qui se serre autour de ses organes génitaux. Heureusement, PenTest Partners a plus tard conçu une solution de contournement sans utiliser d’objets pointus.

Internet of Dongs, un projet qui examine les vulnérabilités des jouets sexuels, a également remarqué les failles de l’API avec la cage de chasteté Cellmate. Le chercheur du groupe a réussi à contacter le PDG de Qiui, ce qui a abouti à un correctif partiel. Mais selon l’Internet of Dongs, les correctifs n’ont pas réussi à résoudre complètement le problème.

Ce n’est que tout récemment que Qiui a mis à jour son application mobile vulnérable. Les propriétaires de CellMate doivent donc mettre à jour la dernière version de l’application.

Cependant, cet incident souligne les dangers des jouets sexuels «intelligents», et comment les connecter à Internet n’est pas toujours une bonne idée.