Uzaktan kontrol edilebilen seks oyuncaklarıyla bilinen Lovense platformunda gizlilik ihlali riski taşıyan bir güvenlik açığı tespit edildi. BobDaHacker takma adlı etik hacker ve güvenlik araştırmacısı tarafından keşfedilen bu açık, kötü niyetli kişilerin yalnızca bir kullanıcının kullanıcı adını bilerek gerçek e-posta adresine ulaşabilmesini mümkün kılıyor.

BobDaHacker, açıklamayı yaptığı blog yazısında “Lovense uygulamasında birini sessize aldım ve API yanıtına baktığımda bir e-posta adresi gördüm. Şaşkınlıkla ‘Bu neden burada?’ diye sordum” dedi. Bu gözlemin ardından detaylı bir analiz gerçekleştiren araştırmacı, herhangi bir kullanıcı adının, sisteme kayıtlı açık e-posta adresine dönüştürülebileceğini keşfetti.

Birkaç saniyelik işlemle kişisel veriye erişim

Araştırmanın detaylarına göre, bu açık birden fazla güvenlik zafiyetini zincirleme şekilde kullanan bir istismar akışına dayanıyor. İlk adımda, saldırganlar Lovense’in belirli bir API uç noktasına (/API/wear/genGtoken) POST isteği göndererek GToken ve AES-CBC şifreleme anahtarlarını elde ediyor.

Amazon’da “sıfır” diye satılan harici diskler 10 yıllık çıktı
Amazon’da “sıfır” diye satılan harici diskler 10 yıllık çıktı
İçeriği Görüntüle

prompt injection attack

Sonrasında, elde edilen bu anahtarlarla herkese açık kullanıcı adları şifrelenerek bir başka API'ye (/app/ajaxCheckEmailOrUserIdRegisted) iletiliyor. Yanıt olarak, şifrelenmiş sahte bir e-posta adresi dönüyor. Ancak aynı anahtarlarla bu sahte e-posta çözülerek kullanıcıya ait gerçek e-posta adresine ulaşılabiliyor.

Son aşamada saldırgan, Lovense’in XMPP sohbet sunucusuna bağlanarak bu sahte e-postayı kişi listesine ekliyor ve gerçek JID’yi (kullanıcı kimliği) tespit ediyor.

BobDaHacker, bu sürecin manuel olarak yaklaşık 30 saniyede tamamlanabildiğini, ancak otomatik bir betikle saniyeler içinde binlerce kullanıcının deşifre edilebileceğini belirtiyor.

Güvenlik uzmanlarından uyarı

Cybernews araştırmacıları ise bu durumun tek bir güvenlik açığından ibaret olmadığını, Lovense’in birden fazla güvensiz API uç noktası ve zayıf kimlik doğrulama akışlarından oluşan bir istismar zinciri barındırdığını vurguladı. Bu açıklar, saldırganlara şifreleme anahtarlarını edinme ve kullanıcı verilerine doğrudan ulaşma olanağı tanıyor.

Kaynak: Cybernews