Ошибка в приложении секс-игрушек Lovense раскрывает личные адреса электронной почты пользователей
Платформа секс-игрушек Lovense уязвима к уязвимости нулевого дня, которая позволяет злоумышленнику получить доступ к адресу электронной почты участника, просто зная его имя пользователя, что подвергает его риску раскрытия личной информации и преследований.
Lovense — производитель интерактивных секс-игрушек, наиболее известный своими секс-игрушками с управлением через мобильное приложение, такими как Lush, Gush и, пожалуй, самым дерзким названием, Kraken. Компания утверждает, что у неё 20 миллионов клиентов по всему миру.
Хотя игрушки Lovense широко используются как для местных, так и для дальних развлечений, они также популярны среди веб-моделей, которые позволяют зрителям давать чаевые или оформлять подписку на удаленное управление своими игрушками.
Однако при использовании подключенного сервиса может также быть раскрыто имя пользователя Lovense, а из-за этой уязвимости — и его личный адрес электронной почты.
Имена пользователей Lovense часто публикуются в открытом доступе на форумах и в социальных сетях, что делает их легкой добычей для злоумышленников.
Уязвимость была обнаружена исследователем безопасности BobDaHacker, который сотрудничал с исследователями Евой и Ребане с целью провести обратную разработку приложения и автоматизировать атаку.
Исследователи обнаружили две уязвимости более четырех месяцев назад, 26 марта 2025 года. Однако впоследствии была исправлена только одна из них — критическая уязвимость, позволяющая перехватывать учетные записи.
Недостатки Lovense
Уязвимость возникает из-за взаимодействия между чат-системой XMPP компании Lovense, используемой для общения между пользователями, и бэкэндом платформы.
«Всё началось, когда я пользовался приложением Lovense и отключил кому-то микрофон. Вот и всё. Просто отключил микрофон», — поясняется в отчёте BobDaHacker .
«Но потом я увидел ответ API и подумал… погодите, это что, адрес электронной почты? Зачем он там? Покопавшись поглубже, я понял, как превратить любое имя пользователя в адрес электронной почты».
Чтобы воспользоваться уязвимостью, злоумышленник отправляет POST-запрос к /api/wear/genGtokenконечной точке API, используя свои учетные данные, который возвращает gtoken (токен аутентификации) и ключи шифрования AES-CBC.
Затем злоумышленник берёт любое публично известное имя пользователя Lovense и шифрует его, используя полученные ключи шифрования. Зашифрованная полезная нагрузка отправляется на /app/ajaxCheckEmailOrUserIdRegisted?email={encrypted_username}конечную точку API.
Сервер отвечает данными, содержащими поддельный адрес электронной почты, который исследователь преобразовал в поддельный идентификатор Jabber (JID), используемый сервером XMPP компании Lovense.
Добавив этот поддельный JID в свой список контактов XMPP и отправив подписку на присутствие по XMPP (аналогично запросу на добавление в друзья), злоумышленник может обновить список (список контактов), который теперь включает как поддельный JID, так и реальный, связанный с учетной записью цели.
Однако проблема в том, что реальный JID создается с использованием фактического адреса электронной почты пользователя в формате username!!!domain.com_w@im.lovense.com, что позволяет злоумышленникам извлечь адрес электронной почты жертвы.
Например, если он вернул bleeping!!!example.com_w@im.lovense.com, то фактический адрес электронной почты учетной записи Lovense будет bleeping@example.com.
Исследователи подтвердили, что с помощью скрипта весь процесс может быть выполнен менее чем за секунду на пользователя. Сегодня BleepingComputer создал поддельную учётную запись и передал наше имя пользователя BobDaHacker, что позволило ему просто подключиться к нам как другу и вернуть адрес электронной почты, указанный нами при регистрации.
Исследователь также заявил, что для использования уязвимости необязательно принимать запрос на добавление в друзья.
BleepingComputer также подтвердил, что на форумах и сайтах, связанных с Lovense, таких как lovenselife.com, относительно легко найти законные имена пользователей.
Исследователь также утверждает, что расширение FanBerry, созданное Lovense, можно использовать для сбора имен пользователей, поскольку многие веб-модели используют одно и то же имя, что делает возможным широкомасштабный сбор адресов электронной почты.
Исследователи также обнаружили критическую уязвимость, которая позволила им полностью захватить аккаунт.
Используя только адрес электронной почты, злоумышленник может сгенерировать токены аутентификации без пароля. Используя эти токены, он может выдавать себя за пользователя на платформах Lovense, включая Lovense Connect, StreamMaster и Cam101.
Сообщается, что эти токены работали и на учетных записях администраторов.
Хотя Lovense и устранил этот недостаток, отклонив токены в своих API, исследователи отметили, что gtokens по-прежнему можно генерировать без пароля.
Об обеих проблемах Lovense было сообщено 26 марта 2025 года. В апреле, после того как компания также сообщила об ошибках на HackerOne, Lovense сообщила исследователям, что проблема с электронной почтой уже известна и будет исправлена в следующей версии.
Компания изначально преуменьшала важность уязвимости, позволяющей взломать учетную запись, но после того, как ей сообщили, что она может предоставить полный доступ к учетной записи администратора, Lovense переклассифицировала ее как критическую.
В общей сложности за раскрытие недостатков исследователи получили 3000 долларов.
4 июня компания заявила, что уязвимости устранены, но исследователи подтвердили, что это не так. В июле Lovense исправила уязвимость, связанную с кражей аккаунтов, но заявила, что на устранение уязвимости электронной почты потребуется около 14 месяцев, поскольку она нарушит совместимость со старыми версиями приложения.
«Мы запустили долгосрочный план по устранению проблемы, который займет около десяти месяцев, а для полной реализации комплексного решения потребуется еще как минимум четыре месяца», — сообщил Ловенс исследователю.
Мы также рассматривали более быстрое решение, которое будет действовать в течение месяца. Однако это потребовало бы немедленного обновления для всех пользователей, что нарушило бы поддержку старых версий. Мы отказались от этого подхода в пользу более стабильного и удобного решения.
Исследователи раскритиковали этот ответ, заявив, что компания неоднократно заявляла, что проблемы устранены, хотя на самом деле это не так.
«Ваши пользователи заслуживают лучшего. Перестаньте ставить поддержку старых приложений выше безопасности. Исправляйте проблемы. И проверяйте свои исправления, прежде чем утверждать, что они работают», — написал BobDaHacker в отчёте.
В конечном итоге, по словам Lovense, 3 июля они запустили функцию прокси-сервера, предложенную исследователями для предотвращения атаки. Однако даже после принудительного обновления приложения уязвимость не была устранена, поэтому неясно, что именно было изменено.
В 2016 году многочисленные уязвимости Lovense раскрыли адреса электронной почты или позволили злоумышленникам определить, связана ли данная электронная почта с учетной записью в Lovense.
После публикации этой истории BobDaHacker стало известно, что другие исследователи по имени @Krissy и @SkeletalDemise обнаружили ту же ошибку захвата аккаунта в 2023 году, которая была раскрыта через HackerOne.
Однако Lovense предположительно отметила уязвимость как исправленную, хотя это не так, изменив уровень серьезности с высокого на средний и выплатив только вознаграждение в размере 350 долларов за обнаружение ошибки.
Исследователи также обнаружили еще один API, /api/getUserNameByEmailV2, который позволяет преобразовывать имя пользователя в адрес электронной почты и наоборот без необходимости использования XMPP.
Предположительно этот API был исправлен и перестал работать после разглашения, без уведомления исследователя.
Обновление от 29.07.25, 10:51 по восточному времени: В заявлении для BleepingComputer компания Lovense поблагодарила BobDaHacker за раскрытие уязвимостей и сообщила, что исправление уже выпущено в магазинах приложений.
«Мы рады сообщить вам, что обновление, устраняющее последние уязвимости, о которых исследователь упомянул в своем сообщении в блоге вчера вечером, уже было отправлено в магазины приложений до публикации сообщения», — сообщил Ловенс BleepingComputer.
Ожидается, что полное обновление будет доступно всем пользователям в течение следующей недели. Как только все пользователи обновятся до новой версии, а старые версии будут отключены, эта проблема будет полностью решена.
Однако представитель компании также заявил, что уязвимость, раскрывавшая адреса электронной почты, была устранена в конце июня. Это заявление противоречит тому, как вчера исследователь продемонстрировал BleepingComputer, что он мог получить адрес электронной почты для нашей тестовой учётной записи, просто приняв запрос на добавление в друзья.
BleepingComputer отправил Lovense дополнительные вопросы о том, продолжает ли уязвимость работать, и обновит нашу статью, если будет получен ответ.
Обновление от 30.07.25: Хотя вчера Lovense не ответил на наше электронное письмо, теперь исследователь подтвердил, что обе уязвимости полностью исправлены.
Метод, используемый для раскрытия адреса электронной почты пользователя, больше не работает в тестах исследователей, а API, ранее использовавшийся для создания токенов аутентификации, был отключен.
Следует отметить, что ошибка захвата учетной записи была устранена еще до прекращения поддержки этой конечной точки.
BleepingComputer связался с Lovense для подтверждения исправлений, но на данный момент ответа не получил.
About The Author
