奇怪的知识增加了 | 为了勒索,黑客开始向情趣用品下手了

  • A+
所属分类:安全新闻




俗话说,林子大了什么鸟都有,物联网设备多了什么破解也都有可能。PWN 君虽说也见过不少脑洞大开的攻击或破解,但最近看到一条消息,也不禁感慨“奇怪的知识又增加了”……


奇怪的知识增加了 | 为了勒索,黑客开始向情趣用品下手了


外媒 bleepingcomputer 前几天报道说一款联网的男性情趣用品 (Cellmate Chasity Cage)遭到黑客远程控制,受害者因此被勒索,要支付 0.02 比特币(攻击时约合 270 美元)的赎金才可解锁。“Cellmate Chasity Cage”是一款可智能连接的情趣玩具,在 BDSM 社区比较流行。这个设备有配套的 APP,可以通过蓝牙控制上锁与解锁。一般是一个人佩戴设备,另一个人控制设备。


奇怪的知识增加了 | 为了勒索,黑客开始向情趣用品下手了

报道称,攻击者可以精确访问到用户的位置数据,还能控制蓝牙、阻止解锁,让用户的“小兄弟”囚禁在不受自己控制的设备中,让用户陷入惶恐。


奇怪的知识增加了 | 为了勒索,黑客开始向情趣用品下手了

据发布消息的研究员 称,有人从黑客那里获取了勒索软件 Chastity 的源代码并提供给了他,随后他便公开了相关代码:

https://github.com/vxunderground/MalwareSourceCode/tree/main/Python(注:仅供研究使用,切勿用于不法用途)。


经过分析发现,这个恶意软件包含与 Qiui API 终端通信的代码,不需要身份验证就可向受害者发送消息甚至添加好友,进而获取用户的位置、电话号码、纯文本密码等。受害者收到的消息中,有一句是“Your cock is mine now”,很难说这是嘲讽还是威胁。


奇怪的知识增加了 | 为了勒索,黑客开始向情趣用品下手了

这也让一些受害用户无比担心,因为这个设备的蓝牙锁无法手动修改,被攻击后,想要不付赎金打开这个设备,就只能用暴力手段切开。而要想切开这个用于特殊部位、且材质坚硬的钢制品,怎么想都尴尬且危险。对用户本人来说也是“社死”时刻。据报道,Qiui 提供远程支持服务,可以协助解锁;用户也可参考 Qiui 发布的手动解锁视频自行操作,但会让设备失去质保资格。截至报道,黑客没收到任何赎金,不知道是受害者自行动手解锁了还是向 Qiui 寻求了帮助,亦或是攻击者只是开了个玩笑,后来又解锁了。只能说,对于用户而言这是不幸中的大幸。


奇怪的知识增加了 | 为了勒索,黑客开始向情趣用品下手了

早在 2020 年 5 月,Pen Test Partners 的研究人员就发现Qiui 的 API 存在隐患,并联系相关人员反馈了问题,但直到 10 月份都没收到任何回复,因此他才公开了研究细节,以示提醒。不曾想,时隔 3 月,就有了实际攻击案例。攻击发生后,Qiui 才修复了漏洞,目前最新版本已经不存在相关安全风险。


漏洞反馈置之不理,出了问题才紧急修复,让用户为承担风险,这着实不是一家负责任的企业会做出的事情。总体来看, Qiui 是因为安全意识不到位而造成了这次攻击的发生,而这也不是情趣用品第一次出现安全问题。 2016 年,We-Vibe 因为在未经用户同意的情况下收集并存储产品温度、使用时间、调整震动频率等敏感数据而遭到起诉。2017 年,We-Vive  以 375 万美元的代价与用户达成了和解。2018年,Vibratissimo 产品曝出多个严重漏洞,攻击者可轻易猜出连接 ID 并通过网络控制用具,还能获取用户的真实姓名和家庭住址。 


奇怪的知识增加了 | 为了勒索,黑客开始向情趣用品下手了


当然,除了情趣用品之外,还有很多“脑洞大开”、可能导致严重后果的智能设备破解。我们借此回顾几个经典案例:


2013 年,白帽黑客巴纳比·杰克发布研究成果,称心脏除颤仪和心脏起搏器存在漏洞,可被入侵甚至远程控制。此事引起了 美国食品和药物管理局(FDA)的重视,也促进医疗器械制造厂商修复漏洞;


2017 年,研究人员发现玩具制造商 Genesis Toys 生产的智能洋娃娃没有任何安全防护,内置麦克风可以录下周边人说的话并通过Wi-Fi发送到外部服务器,可被用于诱导孩子说出家庭隐私;随后,已售出的玩具被紧急召回并进行了安全修复;


2018年,当时的网络安全初创公司Darktrace 总裁曾分享过一个攻击,有黑客通过某赌场大堂鱼缸中的联网温度计访问赌场的内网,在赌场网络有安全防护的情况下获取并传输了赌客数据;

……


回顾 GeekPwn 的舞台,也出现过很多意想不到的破解,例如鼻尖解锁手机、远控轮椅、破解X光安检仪、破解充电桩等……2014 年至今,从无人机、工控设备、医疗设备,到生活中常见的汽车、摄像头、门锁、音箱,不管是大家想到的还是想不到的设备基本都被破解过。而正是因此,大众的安全意识,也在不断的提醒和预警中逐渐提升。

*参考来源:bleepingcomputer

*附 Qiui 发布的解锁视频:

https://cellmatechastity.com/support/

本期话题


1. 你还知道哪些“增加知识”的破解或攻击?

2. 你通常在什么时候、什么渠道看到 GeekPwn 的推文?

欢迎留言跟 PWN 君聊聊🤖️🤖️🤖️


GeekPwn 开通视频号了!

一键关注,离安全更近一点


奇怪的知识增加了 | 为了勒索,黑客开始向情趣用品下手了

点分享

奇怪的知识增加了 | 为了勒索,黑客开始向情趣用品下手了

点收藏

奇怪的知识增加了 | 为了勒索,黑客开始向情趣用品下手了

点点赞

奇怪的知识增加了 | 为了勒索,黑客开始向情趣用品下手了

点在看

本文始发于微信公众号(GeekPwn):奇怪的知识增加了 | 为了勒索,黑客开始向情趣用品下手了

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: