Chaos Communication Congress (35C3).<\/a><\/p>\nIl dispositivo tedesco si chiama Vibratissimo PantyBuster e si collega via Bluetooth a uno smartphone Android o iOS per poter essere gestito mediante una speciale app, in locale o in remoto, da un altro smartphone. In ogni caso, ci sono tante altre funzionalit\u00e0, tra cui un vero e proprio social network con chat di gruppo (ebbene s\u00ec!), gallerie foto (!!), elenchi di amici (!!!) etc etc.<\/p>\n
Il software: ovvero come conoscere gli utenti del sex toy<\/h3>\n
Iniziamo ad analizzare le vulnerabilit\u00e0 del software. \u00c8 stato scoperto che la root directory del sito di Vibratissimo contiene un file .DS_Store, ovvero un elenco di tutte le cartelle e di tutti i file presenti in questa directory e in pi\u00f9 una serie di impostazioni che macOS crea per mostrare correttamente le icone dei file e il loro layout. Werner \u00e8 riuscito a decifrare questo file, scoprendo quinti i nomi di tutte le cartelle e dei file nella root directory.<\/p>\n
Ha suscitato particolare interesse la cartella Config, che conteneva un file omonimo con credenziali di accesso non cifrate per l\u2019accesso al database. Werner ha trovato un\u2019interfaccia per collegarsi al database, inserire le credenziali e ad avere accesso ai dati di tutti gli utenti di Vibratissimo, compresi username e password (anche in questo caso immagazzinati senza cifratura), chat, immagini e video. Immaginate quale sia il tono delle chat di un social network creato per un sex toy, sicuramente saranno messaggi molto privati.<\/p>\n
Altro problema: quando si crea una galleria di immagini all\u2019interno della app, viene assegnato un ID e, per visualizzare la galleria, l\u2019app invia una richiesta che comprende anche questo ID. A scopo di prova, Werner ha creato una galleria con due foto di gattini, ha ottenuto l\u2019ID e poi ha pensato: cosa succederebbe se venisse modificato leggermente l\u2019ID nella richiesta, ad esempio togliendo una cifra? Ebbene s\u00ec, si ottiene l\u2019accesso alla galleria di un altro utente (e in questo caso Werner non ha trovato foto di gattini).<\/p>\n
Inoltre, l\u2019app consente agli utenti di creare un link di controllo per accendere il dispositivo da remoto, link che pu\u00f2 condividere con altre persone (pensate, ad esempio, alle relazioni a distanza). Non \u00e8 richiesta la conferma per l\u2019uso del link, il dispositivo si accende immediatamente; il link comprende anche un ID e indovinate se anche in questo caso lo modifichiamo leggermente? Esatto, si accende il dispositivo di qualcun altro, da qualche altra parte.<\/p>\n
E il peggio \u00e8 che, nella fase di autenticazione per collegarsi via smartphone, l\u2019app invia una richiesta al server con unsername e password non cifrate e visibili a tutti, il che vuol dire che chiunque su una rete pubblica potrebbe intercettarli\u2026 Diciamo che la sicurezza non \u00e8 stata considerata una priorit\u00e0. Werner ha riscontrato altre vulnerabilit\u00e0 anche a livello di software ma non cos\u00ec importanti come quelle appena descritte; e poi tante altri problemi nella comunicazione tra dispositivi e a livello di hardware.<\/p>\n
L\u2019interfaccia: ovvero come collegarsi con perfetti sconosciuti<\/h3>\n
Come abbiamo detto all\u2019inizio, Vibratissimo PantyBuster si connette allo smartphone via Bluetooth; in particolare utilizza Bluetooth Low Energy che consente di stabilire la connessione tra i dispositivi in cinque modi diversi con una passkey. La passkey digitata sullo smartphone pu\u00f2 essere scritta sul dispositivo, pu\u00f2 essere mostrata sullo schermo o la si pu\u00f2 conoscere previamente (del tipo 0 o 1234). Inoltre, i dispositivi possono scambiarsi la passkey via NFC oppure non \u00e8 necessaria nessuna azione di verifica di \u201caccoppiamento\u201d con un dispositivo specifico.<\/p>\n
PantyBuster non ha schermo e non \u00e8 abilitato alla connessione NFC, per cui queste due opzioni sono da scartare. Due delle alternative rimaste sono pi\u00f9 o meno sicure (pi\u00f9 o meno<\/em>) ma i creatori del dispositivo hanno dato priorit\u00e0 alla semplicit\u00e0 per cui hanno optato per l\u2019alternativa meno sicura in assoluto, ovvero senza verifica. Ci\u00f2 vuol dire che se qualcuno conosce il comando di attivazione del dispositivo e lo invia, tutti i PantyBuster nelle vicinanze vibreranno contemporaneamente. Insomma, una persona pu\u00f2 attivare l\u2019app in metropolitana (\u00e8 solo un esempio) e fare una \u201cgradita sorpresa\u201d al proprietario o proprietaria del vibratore che si \u00e8 portato con s\u00e9 il dispositivo.<\/p>\nWerner ha poi scritto un semplice programma che ricerca i dispositivi con Bluetooth LE, ha verificato se c\u2019erano sex toy attivi nelle vicinanze e, in caso positivo, li ha accesi e a piena potenza. Nel caso ve lo stiate chiedendo, azioni di questo tipo non vengono considerate violenza sessuale secondo la legge austriaca, ma la legge s\u00ec che comprende un paragrafo riguardo \u201ccomportamenti sessuali non desiderati\u201d e in altri paesi ci saranno sicuramente indicazioni simili.<\/p>\n
Nei meandri dell\u2019hardware\u00a0<\/strong><\/h3>\nInnanzitutto, non esiste un\u2019opzione per aggiornare il firmware; in altre parole, solo la casa produttrice pu\u00f2 farlo, non l\u2019utente. Dopo essere stati informati della ricerca di Werner, la casa produttrice ha suggerito agli utenti di restituire i dispositivi per procedere con l\u2019aggiornamento, dopo il quale sarebbero stati rispediti a casa. Tuttavia, \u00e8 improbabile che in molti decidano di inviare il proprio sex toy usato per risolvere questo problema.<\/p>\n
In secondo luogo, se si apre il dispositivo, \u00e8 possibile trovare le interfacce usate dalla casa produttrice per il debugging e che poi si \u00e8 dimenticata di chiudere. Queste interfacce possono essere usate per estrarre e analizzare il firmware del dispositivo.<\/p>\n