Платформа для управления секс-игрушками Lovense оказалась уязвима к нулевому дню, позволяющему злоумышленнику получить доступ к электронной почте пользователя, зная лишь его имя аккаунта. Это создает риск доксинга, преследования и других форм злоупотребления.
Lovense известна своими интерактивными игрушками, управляемыми через мобильное приложение. Наиболее популярные модели — Lush, Gush и, пожалуй, самая вызывающая — Kraken. Компания заявляет о 20 миллионах пользователей по всему миру.
Игрушки Lovense часто применяются не только в личных целях, но и в работе веб-моделей: зрители могут управлять устройством за донаты или подписку. Однако платформа, обеспечивающая дистанционное взаимодействие, может выдавать имя пользователя, что в сочетании с уязвимостью позволяет вычислить его почтовый адрес.
Проблема усугубляется тем, что имена пользователей Lovense часто публично публикуются — например, на форумах или в соцсетях.
Посмотреть вложение 114321
Ошибка кроется во взаимодействии XMPP-чата, используемого в Lovense для общения между пользователями, и внутренней инфраструктуры сервиса.
Механизм атаки:
Например, если сервер возвращает bleeping!!!example.com_w@im.lovense.com, значит email пользователя — bleeping@example.com.
Эксплуатация уязвимости через скрипт занимает менее одной секунды на пользователя. Издание BleepingComputer подтвердило работоспособность бага: исследователи получили email, зарегистрировавшись под подставным аккаунтом и подключившись в друзья.
При этом не требуется, чтобы жертва приняла заявку в друзья.
Публичные имена пользователей легко найти на форумах и сайтах, связанных с Lovense, например lovenselife.com. Кроме того, браузерное расширение FanBerry, разработанное самой Lovense, также позволяет собирать такие имена — многие веб-модели используют одинаковые ники на всех платформах.
Хотя Lovense позже стала отклонять такие токены, генерация gtoken по-прежнему возможна без пароля.
Исследователи получили $3,000 за баг-репорты.
4 июня Lovense заявила, что всё исправлено. Однако исследователи доказали, что уязвимость с email осталась. Только в июле был устранён баг с захватом аккаунтов. По поводу второй ошибки компания заявила, что ее исправление потребует около 14 месяцев, так как иначе нарушится совместимость со старыми версиями приложений.
Компания внедрила proxy-фильтрацию 3 июля, как предлагали исследователи. Но даже после принудительного обновления приложения проблема не исчезла. Неясно, что именно было исправлено.
Источник
Lovense известна своими интерактивными игрушками, управляемыми через мобильное приложение. Наиболее популярные модели — Lush, Gush и, пожалуй, самая вызывающая — Kraken. Компания заявляет о 20 миллионах пользователей по всему миру.
Игрушки Lovense часто применяются не только в личных целях, но и в работе веб-моделей: зрители могут управлять устройством за донаты или подписку. Однако платформа, обеспечивающая дистанционное взаимодействие, может выдавать имя пользователя, что в сочетании с уязвимостью позволяет вычислить его почтовый адрес.
Проблема усугубляется тем, что имена пользователей Lovense часто публично публикуются — например, на форумах или в соцсетях.
Кто обнаружил уязвимость
Уязвимость была обнаружена исследователем безопасности под псевдонимом BobDaHacker при участии коллег по реверс-инжинирингу — Eva и Rebane. Они сообщили о двух ошибках 26 марта 2025 года. Впоследствии был устранён только критический баг, позволяющий угнать аккаунт. Уязвимость, связанную с утечкой email, до сих пор полностью не устранили.Посмотреть вложение 114321
Как работает уязвимость
Ошибка кроется во взаимодействии XMPP-чата, используемого в Lovense для общения между пользователями, и внутренней инфраструктуры сервиса.
"Всё началось с того, что я просто заглушил пользователя в приложении. Но когда увидел API-ответ, подумал:… почему тут отображается email? После анализа я понял, как превратить любое имя пользователя в адрес почты," — пишет BobDaHacker.
Механизм атаки:
- Злоумышленник отправляет POST-запрос к /api/wear/genGtoken, получая токен авторизации (gtoken) и ключи AES-CBC.
- Любое известное имя пользователя шифруется этими ключами.
- Полученный шифр подставляется в запрос:
/app/ajaxCheckEmailOrUserIdRegisted?email={зашифрованное_имя}. - В ответ сервер возвращает данные, включающие фиктивный email, который используется для создания Jabber ID (JID) вида username!!!domain.com_w@im.lovense.com.
- Добавляя этот JID в контакт-лист и отправляя XMPP-запрос, злоумышленник получает реальный JID, включающий email жертвы.
Например, если сервер возвращает bleeping!!!example.com_w@im.lovense.com, значит email пользователя — bleeping@example.com.
Эксплуатация уязвимости через скрипт занимает менее одной секунды на пользователя. Издание BleepingComputer подтвердило работоспособность бага: исследователи получили email, зарегистрировавшись под подставным аккаунтом и подключившись в друзья.
При этом не требуется, чтобы жертва приняла заявку в друзья.
Массовый сбор данных
Публичные имена пользователей легко найти на форумах и сайтах, связанных с Lovense, например lovenselife.com. Кроме того, браузерное расширение FanBerry, разработанное самой Lovense, также позволяет собирать такие имена — многие веб-модели используют одинаковые ники на всех платформах.
Вторая уязвимость: захват аккаунта
Исследователи также обнаружили критическую уязвимость, позволяющую полностью захватить чужой аккаунт, зная только email-адрес. С помощью API можно было сгенерировать токены доступа без пароля, а затем использовать их для входа на платформы Lovense — Connect, StreamMaster, Cam101. Эти токены работали даже для администраторских аккаунтов.Хотя Lovense позже стала отклонять такие токены, генерация gtoken по-прежнему возможна без пароля.
Реакция компании и текущий статус
Lovense получила отчет об уязвимостях 26 марта. В апреле, после повторной отправки отчета через HackerOne, компания заявила, что проблема с email известна и будет исправлена в следующей версии. Ошибку с захватом аккаунтов изначально недооценили, но после повторного пояснения отнесли к критическим.Исследователи получили $3,000 за баг-репорты.
4 июня Lovense заявила, что всё исправлено. Однако исследователи доказали, что уязвимость с email осталась. Только в июле был устранён баг с захватом аккаунтов. По поводу второй ошибки компания заявила, что ее исправление потребует около 14 месяцев, так как иначе нарушится совместимость со старыми версиями приложений.
"Мы запустили долгосрочный план, рассчитанный на 10 месяцев, и ещё 4 месяца потребуется на полную реализацию. Быстрая правка за один месяц возможна, но потребует принудительного обновления всех пользователей. Мы выбрали более стабильный подход," — объяснили в Lovense.
Критика со стороны исследователей
BobDaHacker раскритиковал позицию компании:"Ваши пользователи заслуживают большего. Перестаньте ставить поддержку старых версий выше безопасности. Исправляйте уязвимости по-настоящему. И тестируйте патчи перед тем, как заявлять об их работоспособности."
Компания внедрила proxy-фильтрацию 3 июля, как предлагали исследователи. Но даже после принудительного обновления приложения проблема не исчезла. Неясно, что именно было исправлено.
Источник
