W ostatnich latach na dużych targach elektronicznych, takich jak CES, wyłonił się ogrom najróżniejszych elektronicznych gadżetów erotycznych. Jednym z takich urządzeń jest elektroniczny pas cnoty, Qiui Cellmate Chastity Cage. Gadżet jest obsługiwany przez Bluetooth, a odblokować go może jedynie zaufany partner/ka, który dokonuje tego zdalnie przez aplikację mobilną. To samo tyczy się procedury zablokowania.

I właśnie tutaj pojawił się problem, który ujawnili brytyjscy badacze zabezpieczeń z Pen Test Partners. Z powodu luk w API, osoby nieuwierzytelnione mogą zyskać dostęp do danych położenia użytkownika, a co gorsze ustawić blokadę otwierania pasa cnoty, przez co posiadacz pasa cnoty nie mógłby w żaden sposób go otworzyć.

Co gorsze, urządzenia nie da się odblokować w sposób fizyczny, a przyglądali mu się miesiącami badacze Pen Test Partners. Jeśli więc ktoś zhakowałby Qiui Cellmate Chastity Cage, to genitalia użytkownika utknęłyby na dobre.

Motto producenta brzmi "prawdziwa kontrola cnoty polega na tym, że użytkownik nie ma kontroli nad własnym urządzeniem". Nikt jednak nie chciałby być w skórze osoby, której zhakowano taki gadżet. Tym bardziej, że jedyną nadzieją na "wyzwolenie" byłoby użycie szlifierki kątowej - sprzętu, który raczej budziłby mocne obawy przy zbliżeniu do genitaliów.

Chińska firma Qiui, która chwaliła się, że to pierwsze urządzenie tego typu kontrolowane przez aplikację, została uświadomiona o podatności. Jednakże jak donosi serwis TechCrunch, Qiui wyznaczyło sobie trzy terminy na wyeliminowanie luki i za każdym razem nie była w stanie temu zadaniu podołać. Ostatecznie firma zaktualizowała oprogramowanie do przyrządu w czerwcu 2020 r., ale nie jest to rozwiązanie idealne. Osoby, które nie dokonały uaktualnienia aplikacji mobilnej są nadal podatne.

Mamy tutaj do czynienia z patową sytuacją. Jeśli Qiui zablokuje stare API, naprawi lukę, ale osoby, które nie zaktualizowały aplikacji będą podatne na ataki i zablokowanie urządzenia. Pen Test Partners jest w kontakcie z producentem i zachęca go do opracowania bardziej kompletnego rozwiązania problemu.

Zdaniem badaczki Nicole Schwartz (Internet of Dongs) firmy technologiczne zajmujące się produkcją gadżetów erotycznych często zaniedbują bezpieczeństwo. Na przykład w 2016 roku miał miejsce pozew zbiorowy, w którym firma We-Vibe została oskarżona o przekazywanie preferencji, adresów email i danych użytkowników bez ich zgody.

Co ciekawe, w okresie pandemii – gdy ograniczamy kontakty z ludźmi – urządzenia takie, jak elektroniczny pas cnoty Qiui zyskały bardzo mocno na popularności. Na stronie producenta mniejszy z wariantów gadżetu jest w momencie publikacji wyprzedany.