|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
卡城新闻 加国新闻 即时新闻 娱乐八卦
最新科技 读者文摘 养生保健 美食饮品
居家生活 音乐诗画 艺术中心 风筝专辑 房屋租赁 求职招聘 便民广告 定居指南 城市介绍 房产动态 留学移民 华人故事 教育话题 财经信息 精华旅游 难得一笑 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
卡城新闻 加国新闻 即时新闻 娱乐八卦
最新科技 读者文摘 养生保健 美食饮品
居家生活 音乐诗画 艺术中心 风筝专辑 房屋租赁 求职招聘 便民广告 定居指南 城市介绍 房产动态 留学移民 华人故事 教育话题 财经信息 精华旅游 难得一笑 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
卡城新闻 加国新闻 即时新闻 娱乐八卦 最新科技 读者文摘 养生保健 美食饮品 居家生活 音乐诗画 艺术中心 风筝专辑 房屋租赁 求职招聘 便民广告 定居指南 城市介绍 房产动态 留学移民 华人故事 教育话题 财经信息 精华旅游 难得一笑 |
| 读者文摘 |
 卡城华人网信息中心 读者文摘
 成人性玩具出现漏洞,可被远程控制/操作
|
|
【卡城华人网 www.calgarychina.ca】 2025-07-30 10:26 免责声明: 本消息未经核实,不代表网站的立场、观点,如有侵权,请联系删除。 |
|
来自新加坡的成人性玩具制造商 Lovense 在全球拥有超过 2,000 万名用户,不过日前该公司因为安全漏洞修复时间问题与安全研究人员发生争议,安全研究人员已经将两枚高危漏洞完全公开。 名为 BobHacker 的安全研究人员在 3 月份发现 Lovense 的系统存在安全漏洞,在通过 HackerOne 平台反馈漏洞后获得 3000 美元的奖励,但 Lovense 要求安全研究人员提供 14 个月的时间来修复漏洞,通常情况下安全研究人员预留的漏洞修复时间是 90 天。 研究人员并不认同制造商需要长达 14 个月才能修复漏洞的说法,因此在漏洞提交满 90 天后,也就是在 2025 年 7 月 28 日研究人员将两个高危级别的安全漏洞细节完全公开。 泄露用户的真实邮件地址: 研究人员在使用 Lovense 应用程序时发现其中存在的安全漏洞,而且这个安全漏洞相对来说比较低级,任何使用网络分析工具的用户都可以看到与之交互的用户的电子邮件地址(注:不需要添加好友)。 例如研究人员使用 A 账户与其他人使用的 B 账户正在交互,借助网络分析工具抓取流量后可以发现 B 账户的真实电子邮件地址,漏洞发生原因则是 Lovense 将用户名与电子邮件关联,所以即便你起个乱码名字也可能会被其他人发现真实邮箱进而定位到真实身份。 科技网站 TechCrunch 为验证这个漏洞特地创建 Lovense 账户,随后 BobHacker 花费大约 1 分钟就找到了这个账户关联的真实邮箱,研究人员称这是通过脚本自动化执行的,不到 1 秒就可以获取结果。 接管用户账户并控制性玩具: 第二个漏洞是涉及到接管 Lovense 账户的,借助漏洞任何人都可以创建身份验证令牌直接访问特定的 Lovense 账户,不需要密码和其他验证。 研究人员称如果用户使用的性玩具连接到互联网 (使用 Lovense 配套应用连接),则攻击者可以借助身份验证令牌漏洞直接访问用户账户进而远程控制性玩具,这可能会在真实世界里造成伤害。 BobHacker 强调任何人只需要知道 Lovense 的电子邮件地址就可以接管账户并发起控制,相较于前一个漏洞来说,这个漏洞造成的危害可能会更大。 有其他研究人员提交漏洞被忽略: BobHacker 还提到这些错误可能在 2023 年 9 月就被其他研究人员发现并提交,但不知道为什么漏洞会被忽略而没有修复。 Lovense 则回应称目前接管账户的令牌安全问题已经修复,至于泄露用户真实电子邮件的漏洞还在修复中,预计会下周推送更新给所有用户用于修复漏洞。Lovense 没有回应为什么之前说要 14 个月才能修复漏洞。 编辑(Edit) 删除(Delete) |
|
|
|
|
|
|
|
|
|
|
|
| 版权所有(C), 2002-2025, 卡城华人网中国版 www.calgarychina.ca |
| 版权所有(C), 2002-2025, 卡城华人网中国版 www.calgarychina.ca |
