Мир киберпреступности провел переоценку стоимости интимной приватной информации на черном рынке. Авторы отчета международной антивирусной компании ESET включили угрозу утечки личных данных через цифровые устройства для удовольствий в тренды кибербезопасности 2021 года.
Пандемия подхлестнула индустрию цифровых секс-игрушек, сами гаджеты дешевеют, как в свое время смартфоны, а пользователей таких устройств становится больше. Киберпреступность отреагировала и заинтересовалась возросшим объемом пользовательской информации о тех, кому есть, что скрывать.
Эксперты ESET Сисилия Пасторино и Дениз Билич провели анализ угроз для пользователей секс-гаджетов, и их вывод неутешителен: индустрия секс-развлечений не предпринимает серьезных мер для защиты клиентов в вопросе сохранности личных данных.
Мишень для взломщиков
Большинством устройств для интима можно управлять через Bluetooth Low Energy (BLE) из приложения, установленного на смартфоне. Таким образом, секс-игрушки действуют как датчики, которые только собирают данные и отправляют их в приложение для обработки. Затем приложение отвечает за настройку любых параметров на устройстве и управление процессом аутентификации пользователя. Для этого он подключается через Wi-Fi к серверу в облаке, где хранится информация об учетной записи человека.
Такая архитектура имеет несколько слабых мест, которые могут быть использованы с целью компрометации безопасности данных: перехват локальной связи между управляющим приложением и устройством; между приложением и облаком; между удаленным телефоном и облаком, а также атака непосредственно серверной части.
В этом году исследовательская группа ESET в Латинской Америке представила на DEF CON IoT Village новую работу о небезопасных интеллектуальных секс-игрушках. В основе расследования лежали два гаджета: носимое устройство Jive, производимое We-Vibe, и мужской мастурбатор Max от Lovense. Было выявлено, что оба устройства имеют уязвимости в реализации связи BLE, что позволяет злоумышленникам перехватывать отправленные данные и удаленное управление устройствами с помощью атак BLE MitM (man-in-the-middle).
Это означает, что любой может использовать простой Bluetooth-сканер для поиска и управления этими умными секс-игрушками в непосредственной близости.
Такая уязвимость очень распространена в устройствах интернета вещей, поскольку большинство моделей, доступных на рынке, не реализуют безопасное сопряжение, которое не позволяет любому подключаться и контролировать их. Что касается приложения Lovense Remote, то в нем группа исследователей обнаружила угрозы сохранности конфиденциальных интимных изображений, отправленных пользователями.
В приложении не было сквозного шифрования, снимки экрана не были отключены, а опция «удалить» в чате фактически не стирала сообщения с удаленного телефона.
Кроме того, злоумышленники могут узнать адреса электронной почты, связанные с любым именем пользователя, и наоборот.
По мере развертывания сетей 5G количество «умных» гаджетов, включая секс-игрушки, будет значительно увеличиваться, что резко повысит уязвимость сетей для крупномасштабных, многовекторных кибератак, считает Одед Вануну, глава отдела исследования уязвимостей Check Point Software Technologies.
«Хакеры могут использовать бэкдоры для получения доступа к персональным данным пользователя, включая изображения, истории переписок в чате, сексуальные предпочтения, пароли и так далее. Также секс-игрушку можно взломать через Bluetooth, домашнюю сеть Wi-Fi или подключенный к ней сервер. Кроме того, в связанной с устройством облачной платформе тоже есть уязвимости, которые позволяют раскрыть личную информацию пользователей. Наиболее уязвимы игрушки, которые поддерживают возможность видеозвонков — взломав компьютер или смартфон, киберпреступник сможет украсть видеозаписи», — поясняет Вануну.
Эксперт считает, что секс-игрушки опасны не только тем, что из-за них наиболее интимная информация рискует попасть не в те руки — через них злоумышленник может получить доступ к другим устройствам и ко всей сети.
Поскольку большинство современных секс-гаджетов обладают сложными технологическими функциями, такими как подключение к Wi-Fi, к веб-камере или даже поддержка биологической обратной связи на базе искусственного интеллекта, к ним следует относиться серьезно с точки зрения кибербезопасности.
«Умные» игрушки для взрослых собирают самые конфиденциальные данные о нас, поэтому задача производителей — обеспечить надежную защиту устройств от взлома», — заявил эксперт.
Вопрос этики
Не секрет, что информация, обрабатываемая умными секс-игрушками, чрезвычайно приватна: имена, сексуальные предпочтения и ориентации, список партнеров, информация об использовании гаджета, интимные фото и видео – все эти данные могут привести к катастрофическим последствиям, если попадут в чужие руки.
«Кроме того, во многих странах есть законы, которые прямо запрещают гражданам участвовать в определенных сексуальных практиках, — рассказывает киберисследователь ESET Сисилия Пасторино. — Что произойдет, если местные власти развернут репрессивную кампанию, основанную на насильственном изъятии данных у компаний, которые их обрабатывают? Возможны и неофициальные госзаказы хакерским группировкам на поиск или использовании ошибок и слабых мест в секс-устройствах с целью выявить и преследовать представителей сексуальных меньшинств или тех, чьи сексуальные взгляды противоречат устоявшейся в обществе догме».
Также секс-игрушки не исключают возможности взлома с помощью кибератак.
Наиболее распространенный метод – атака приложения, которое управляет теми или иными функциями секс-гаджетов, включая VR-системы. Найдя уязвимость в приложении, злоумышленник может продвинуться дальше и завладеть или заблокировать управление непосредственно смартфоном, на который установлено приложение.
Не менее неприятный и опасный вариант развития событий – это внедрение в настройки непосредственно интимной цифровой игрушки.
«Нарушение работы электронного устройства может причинить физический вред пользователю, из-за перегрева, взрыва, неожиданного изменения скорости и мощности работы. Данная проблема поднимает новый для общества вопрос – проблему виртуального сексуального насилия. Каковы последствия того, что кто-то может контролировать сексуальное устройство без согласия? Можно ли это назвать актом сексуального насилия?
Понятие киберпреступности приобретает иной вид, если мы посмотрим на него с точки зрения вторжения в частную жизнь, злоупотребления властью и отсутствия согласия на половой акт.
Согласие, полученное путем мошенничества, вовсе не является согласием, и этот законодательный пробел необходимо будет устранять на мировом уровне, чтобы обеспечить сексуальную, физическую и психологическую безопасность пользователей цифровых услуг», — считает Пасторино.