中國品牌成人用品有API 漏洞，老二可能會被駭客永久鎖定

現在什麼東西都要講究個 IoT 來象徵與網路時代的接軌，還有帶給人智慧的印象，但有些產品在中斷網路連接時卻會無法使用，而且有許多標榜智慧的連網設備安全性都不怎麼重視，因此很容易被駭客入侵。英國的安全研究人員發現，有一款成人用品存在重大的安全性漏洞，其後果對於用戶來說簡直是媲美大海嘯的災難。

中國品牌成人用品有API 漏洞，老二可能會被駭客永久鎖定

英國安全公司 Pen Test Partners 發現，中國廠商所出品的一款號稱「全球首款應用程式控制貞操裝置」的 Qiui Cellmate （囚愛）男用智慧貞操鎖存在網路安全缺陷，可能使任何人可以遠端勇就性地鎖定用戶的「小老弟」。Qiui Cellmate 的運作原理是允許受信任的對象使用行動裝置上的應用程式，利用藍牙遠端鎖定與解鎖。該應用使用 API 與貞操鎖之間進行通訊，問題就出在這 API 仍處於開放狀態，且並沒有設置密碼，因此任何人都可以獲得完全權限去控制任何用戶正在使用的設備。


由於該貞操帶的設計是將使用者命根子下方以金屬環鎖定，倘若被永久鎖定，可能需要重型機具才能切斷金屬環，還給用戶自由之身。該安全公司的研究員在一篇部落格文章中寫道，攻擊者可以非常快速地鎖定所有人，且沒有緊急應變功能，如果你在外面被鎖起來就等於完全沒有辦法解除。而這支不安全的 API 還允許從用戶的應用程式訪問私人資訊和精確的定位資訊等。


國外媒體 TechCrunch 於 6 月了解這個漏洞，研究人員進而聯繫了總部位於中國的 Qiui 詢問關於此 API 缺陷的問題，開發者表示將會為新用戶推出新的 API，但不安全的 API 則會繼續留給現有的用戶。Qiui 的執行長曾表示 8 月會釋出更新修復，但期限已經過去了仍沒有進行修補，最終該公司定下的 3 個期限都放了鴿子無所作為，於是才被媒體披露出來。在該公司給媒體的後續回覆裡面更曾表示修復時會帶來更多問題，對於另外發現的安全性問題亦難以回應。


目前還不清楚是否有用戶因惡意份子利用 API 漏洞而受攻擊，該配套應用程式下的評論中卻能看出存在導致設備持續鎖定的問題。所以大家在選購這類對人身具禁錮性的成人用品時，還是避免選擇這類標榜「智慧」的連網裝置，以免預期中的愉悅沒到來之前就先給自己找麻煩。

◎資料來源：TechCrunch、Pen Test Partners