科技網媒《The Verge》報導,英國資訊安全公司Pen Test Partners(PTP)近日揭露,1款中國製男性貞操帶出現「鎖鳥」危機,產品由中國團隊佛山囚愛科技發展有限公司(QIUI)設計銷售,宣稱為首款APP遠端控制貞操帶。
貞操帶設計有型,防塵防水等級高達IPX7,前端有小孔,配戴者可放心帶著它洗澡、上廁所,主攻BDSM社群,PTP估算,這款男性貞操鎖已經售出4萬多件,範圍遍布全球。
PTP報告,漏洞存在於APP和貞操帶之間的API,API處於開放狀態,未設置密碼,任何人都可以獲得完全權限、透過藍牙控制任何使用中的設備,惡意駭客不僅能夠取得設備方個資,還可以設定「永久鎖定」。
為了避免配戴方自行脫下,貞操帶並未設置鑰匙孔或按鍵,正常情況下只能透過APP遠端解鎖,若發生故障,就必須使用切割機、鉗子等物理方式解鎖,PTP專家則示範如何透過讓電路板短路解鎖,但因為太靠近敏感又脆弱的器官,這些方式都有極高的危險性。
其實不用駭客出手,Qiui APP就曾多次出現不明原因當機,用戶透過App Store和Google Play雙平台紛紛抱怨「小傢伙」被迫關緊閉,有人因此受傷,也有使用者留言:「這個App會當機,我完全被卡住了!」警告其他人不要購買如此不安全的產品。
PTP公司也表示,他們早在4月份就發現漏洞並通知QIUI,對方6月曾推出更新,但許多用戶尚未更新,仍暴露在危險之中。另一間資安公司TechCrunch知情後,於6月聯絡QIUI,其中國總部保證,8月會再全面更新,但至今未有動作。PTP緩頰,QIUI若完全禁用舊的API確實能夠修復漏洞,但可能把所有還沒更新APP的貞操帶上鎖,受害「鳥」數可能更多。