黑客劫持震动棒算不算性侵？

我们使用的无线设备越来越多，而相关的法律还跟不上这种发展，特别是类似远程震动棒这类应用。

2014年，正是各种可穿戴设备群雄并起的黄金时代。加拿大情趣用品制造商Standard Innovation灵机一动，也快跑两步登上了“万众创新”这趟快车：他们想到了在振动棒中加上蓝牙模块的主意。于是开发出了唯伊（We-Vibe）系列情趣用品。用户通过对应的We-Connect App，可以在进行文字和视频聊天的同时，通过App远程控制与之配对的情趣用品（多么贴心的使用场景设计）。

所以，即使你在南方的艳阳里大雪纷飞 我在北方的寒夜里四季如春，但是依然能带彼此互相起飞。唯伊的宣传语是：“咫尺或天涯，激情速易达”。国内一些消费者评测网站如什么值得买、Chiphill对此其有不少“好，但是好在哪里就不细说了”的评测。

这本是一个好主意。但是2016年，Standard Innovation突然被告上了法庭。

原来，像所有的可穿戴设备一样，唯伊会大量收集用户数据并上传。振动棒的“工作环境温度改变”（捂脸）？嗯，需要报告一下公司；咦，你的伴侣把震动强度调高了？赶紧上传一下数据给公司……就这样，在使用过程中，用户的“使用日期时间、使用细节情况以及注册用户邮箱”等详细信息都会自动上传至Standard Innovation的服务器上，而这一切用户并不会被特别告知。

在被告上法庭后，Standard Innovation公司不得不承认，“我们的确会收集某些有限的数据，主要是为了改进产品使用体验和为了医疗诊断的目的。”但其强调说： “收集的这些数据是非个体化的”。

而且Standard Innovation一脸无辜地辩解，绝大多数用户根本也不创建帐户或提供电子邮件啊，暗示那些用个情趣用品还要一本正经注册使用的用户“你们4不4撒？”那些乖乖注册使用的用户一口老血喷出来了：老子信了你的邪……

其实，像情趣用品这种私密性非常强的产品，一旦接入物联网，其隐私性和安全性都会受到挑战。唯伊此前其实已经有过被黑的先例。2016年，在著名的黑客大会Def Con上，两位来自新西兰的黑客现场分分钟就“黑”了唯伊的App，取得了其远程控制权。两个Nerd随后正经脸地问了一个问题：你以为和伴侣玩的正high，但是后来发现控制振动棒的竟然另有其人，这算性侵么？

去年美国伊利诺伊州的两名“老司机”拍案而起，领衔发起了针对生产“唯伊”的母公司Standard Innovation的集体诉讼，声称该公司的数据收集违反了隐私和消费者欺诈法律。一位“不愿透露姓名”的女性“老司机”表示，其购买了一个130美元的唯伊Rave，并下载了适配的We-Connect应用程序，但这一App从来没有告知过自己设备制造商正在监控她的使用情况并收集“个人身份信息”。原告律师火上添油地表示“这算是我们律所处理的最令人不可思议的侵犯隐私行为。”

上周，在芝加哥联邦法院的主持下，Standard Innovation终于算是与原告达成了一项和解协议。根据和解协议，Standard Innovation同意删除已经收集的用户使用数据，并停止收集个人用户信息。将来，用户会受到明确提示是否愿意共享使用数据。

同时，Standard Innovation同意拨备350万美元（约2500万人民币），用于以下赔偿： 被证实配合唯伊情趣用品使用过App的顾客将获赔最高一万美元；无论是否使用该App，而只要买过唯伊的用户最高也可获赔199美元。不过根据和解协议备忘录披露的信息，大约30万人购买了诉讼所涉及的唯伊，且有大约十万人下载并使用了该应用程序。这个钱分到个人手里看来并没有多少。

Standard Innovation还是嘴硬，拒绝在和解协议里明确承认公司有任何不当行为，尽管如此，公司还是在去年九月更新了We-Connect应用程序和隐私声明。

最近，一名叫Lomas的渗透测试员与其在网络安全公司的小伙伴就这个问题做了个小实验，他们用手机里的LightBlue快速搜索到了一个陌生人使用的Lovense Hush震动棒，这款震动棒或许是市场上同类产品中最牛的。更重要的是，Hush是可以被黑客入侵的。

Lomas将其测试结果发表在了Pen Test伙伴的博客里。在【视频】采访中，他做了如下总结：

Hush使用低耗能的蓝牙模式，这是比较新的蓝牙模式，目的是连接智能设备。

如果是在公共场所使用这款Lovense Hush按摩产品，另一名测试员可在30英尺（9.144米）范围内通过手机控制这款产品的震动速度和模式。在这种情况下，Hush将会进入发现模式，可供其它人发现并加以控制，这里未设置密码保护，要么PIN码是简单易猜的0000或1234——如此轻易被爆*。

有些白帽子已经曝光了一组成人用品公司——Lovense，Wevibe——他们一直在收集用户的隐私数据，但其存储库不稳定，而他们的客户并不知道这些。WeVibe数据的不安全性使其收到多宗侵犯隐私的诉讼，而第三方介入远程性爱行为的可能性还极少被探讨。

Hush并非唯一让黑客有机可乘的成人玩具：任何启用了蓝牙功能的小玩意，如助听器或烟雾探测器，都可能存在被第三方检测到的风险。而像Body Chat或配备摄像头的Siime Eye震动棒等非常私密的智能型成人用品很容易被劫持。