简介

随着IoT（物联网）设备不断的进入千家万户，它们也在提供着越来越广泛的功能，逐渐地人们也开始对这些设备处理数据的安全性问题产生了新的担忧。尽管在这一方面已经出现了无数的安全漏洞，导致人们的登录信息、财务状况及地理位置等信息被无情的曝光。不过在用户被曝光的个人数据中，应该很少有哪些数据会比曝光个人的性行为数据对用户造成的伤害更大吧。

随着市场上各类智能成人玩具型号的推陈出新，我们可以意识到的是，它们在针对如何加强将用户数据的处理得到更好应用的机制上确实取得了不小的进步。然而，我们的研究表明，我们离通过数字媒体来实现我们不会暴露在网络攻击风险中的性生活还存在着一定的距离。时至今日，这些问题的发现要比以往任何时候都更有意义，因为我们发现情趣玩具的销量正迅速上升，这也算是对当今世界在新冠疫情影响下的健康状况与社交隔离措施的反映吧。

尽管已经有很多研究人员在该行业上投入了大量的时间去甄别并报告安全缺陷，但随着时间的推移，这些设备也有了越来越广泛的功能。群聊、多媒体讯息、视频会议、歌单或听书书单的同步，以及其他各种各样的功能。每一次他们代码的重新设计，会对部分的漏洞进行修复，但也可能会同时带来新的漏洞，更有甚者是在多个迭代版本中仍然会保留着一些原来的漏洞。

所以，现在的这些成人玩具到底有多安全呢？是否已经采取了必要的防范措施来保护人们的数据隐私？这些都是我们要在本白皮书中讨论的一些问题。我们将会对这些设备所发挥的日益重要的作用，以及其中一些设备的漏洞进行研究。强调我们作为知情的消费者应该要求这些产品去采取最佳做法和标准的重要性，以确保我们的数据和我们自身不会受到伤害。

情趣玩具的发展

许多消费者会认为成人玩具的出现是当今计算机社会和技术交融后不可避免而产生的一种新趋势，尽管这些设备已经存在了好几个世纪了～～

近几十年来，这些设备的进化受到了技术进步的推动。在2000年代，出现过一波新的设备，其特点是通过红外连接来进行远程控制。到了2010年，已经出现了通过某个软件来对本地设备进行控制的产品了。如今在2020年，甚至是在刚刚过去的那几年中，就已经有了那种可以在互联网上进行远距离连接的设备。

智能化情趣玩具的特点

伴随着物联网的出现，许多制造商已经加入了这个不断追求快感的市场，他们整合了通过手机软件对这些设备进行控制的功能，同时又增加了设备之间基于网络的互联性。目前已经有了许多种不同的手机软件了，并且这些软件还能够控制多个型号的设备。

就其技术架构而言，这些设备大多数都是可以通过安装在智能手机上的软件并通过低功耗蓝牙（BLE）进行控制的。该协议的主要优点是，它的功耗需求非常低，能够在可接受的距离内进行通信，各芯片厂商之间的兼容交互性也很强，并且该模块的体积极小。因此，许多家用、医疗、汽车甚至是情趣玩具领域的智能设备，都会在各设备和控制设备的软件之间使用BLE协议。

和蓝牙一样，BLE 也工作在 2.4GHz ISM频段。然而与普通标准蓝牙不同的地方在于，BLE 一般会一直处于睡眠状态，只有在建立连接时才会进入工作状态。另外BLE的实际连接时间只有几毫秒，不像普通蓝牙那样好花上100多毫秒进行连接。在BLE网络中，设备会被归类为中心设备或外部设备。中心设备（智能手机、电脑等）有着更强大的处理能力，负责对外部设备进行控制。一般来说，中心设备上运行着专门为控制外部设备而开发的软件。

外部设备充当传感器，收集数据并将数据发送到中心设备进行处理。这也就是为什么BLE所需功耗极低的关键原因所在了，它们不负责处理数据，只是负责收集并传输数据。手机软件负责对设备的各项功能进行设置，并负责控制用户的认证流程。为此，它通常会与那些存储着用户信息的云服务器进行连接。在某些情况下，这类应用还相当于不同用户之间寻求聊天、视频会议、文件传输的中介应用，甚至在该设备所有者的授权下可以将该设备的控制权转交给某一远程用户。

这种技术架构中存在一些可以对处理中的数据安全造成破坏的缺点：可以直接对设备与控制软件之间的本地通信进行拦截，还可以拦截控制软件与云服务器之间的通信，远程控制手机与云服务器之间的通信，或者是直接对该设备负责的云服务发起攻击。当然，并不是所有的攻击都是通过网络连接来进行的。还可以通过预先安装在手机内的恶意软件或是利用手机操作系统中的漏洞来实现恶意攻击。然而在本白皮书中，我们只会关注并讨论那些应用本身所存在的漏洞。

尽管它们已经受到过许多安全研究人员的检查（[1], [2], [3], [4]等），但据我们的调查表明，这些设备中仍然存在着安全缺陷，这些缺陷可能会对存储的用户数据或用户隐私甚至是用户自身安全造成威胁。这些漏洞涵盖的范围很广，从简陋的身份认证到将个人设备公开，以至于任何人都可以轻易的对该公开设备进行连接。

为什么安全问题对于情趣玩具来说如此重要？

物联网设备存在漏洞这件事在任何人的眼里都不算是一件什么新鲜事了。在之间发布的文章中，ESET已经对多款智能家居中枢和智能摄像头中发现的严重缺陷进行了分析。最近ESET的研究人员发现了KrØØk，这是一个影响了超10亿台WiFi设备加密问题的严重漏洞。然而对于情趣玩具来说，这一类产品接触到和处理的信息都是非常敏感的：姓名、性别或性取向、性伴侣名单、设备使用信息、私密照片和视频等，一旦这些信息落到了不法分子的手里，就会造成灾难性的后果。

那么又有谁会对这类信息感兴趣呢？在美国的阿拉巴马州等地，贩卖这些情趣用品是犯法的，尽管在各类宣传的医疗广告中仍然可以发现一些型号的情趣用品，这一点正如 Maines 在报告中发现的那样，早在1906年就出现了这种“委婉“的行为。此外，在一些极端保守的国家有着严格的法律，明令禁止所有形式的同性恋、婚前或婚外性行为。在这些国家中，尤其是非洲和亚洲的部分国家，公布有关个人性行为及其伴侣的私人信息可能会导致他们被捕入狱，甚至是判处死刑。

除了对政府间谍活动的担忧外，智能情趣用品也难免于被网络攻击者破坏的可能。如果我们考虑到可以通过控制这些设备的软件来获取私密信息，那么是不是就会出现一波新形式的色情敲诈呢。

对此已经有过一些先例，这足以向我们展示上述可能性所造成的后果有几何。针对Ashley Madison ”约会“网站的攻击可能是我会想到的第一个例子。在这个”诈骗“平台的3000多万用户的名字被公布后，媒体上出现了无数起关于离婚、自杀和一些基于这场数据泄露诈骗所造成事件的报道。

除了对数据保密性的担忧，我们还必须考虑情趣用品控制软件中可能会存在导致手机上被安装恶意软件的漏洞，或者导致情趣设备中的固件被篡改。这些情况有可能会导致DoS（拒绝服务攻击），无法接收任何传递的指令，或者是该设备被武器化以进行各种恶意行为并传播恶意软件，甚至是对设备进行恶意修改对用户造成人身伤害，如过热等。

虽然今天的大多数国家已经对各种类型的网络犯罪进行了分类，但是我们还没有做到这样的一种程度，即我们正在评估这些基于数字系统的新型犯罪滥用手段，因为这些数字系统正一点一点的进入我们的私人生活中。

但有一点是明确的。通过欺骗换来的同意根本就不算是同意，为了确保数字领域用户的身心安全，就需要解决当前法律中的这块空白。

针对两款热门产品的安全评估

我们研究的目的是为了确定控制这些主要品牌热门产品的安卓应用的安全水平，以确定它们在多大程度上确保了用户数据的保密性。

在对这些设备和普通物联网设备进行分析时，出现的困难之一是市场上存在着各种各样的商品，每个型号的商品都有其各自对应的固件和控制它们的应用软件。出于这个原因，我们觉得将我们的分析限制在当今市场上最知名的两个厂商，并分别获得了以下两个产品：Lovense公司的Max和We-Vibe公司的Jive。

首先，我们从应用商店中下载了可用户控制这些情趣用品的手机软件（We-Connect和Lovense Remote），然后使用漏洞分析框架及人工分析技术来确定其中的缺陷。

以下部分中详细介绍了我们在每个手机软件和设备上发现的一些安全问题。两家厂商都已经收到了详细的漏洞披露细节和漏洞修复建议。

在本文发表前，所有提及到的漏洞都已得到解决。

We-Vibe

情趣用品市场上最知名的品牌之一是 We-Vibe。该品牌旗下在售的产品种类繁多，其中就包含一些智能设备。这些设备中有趣的一点是，它们中的很多都被设计为可穿戴设备，甚至实际上可以被全天候佩戴。正是由于这一点原因，我们选择了Jive作为研究对象，来推测可穿戴设备容易对造成人身伤害的环境。

当我们开始进行初步研究时，我们发现已经有发表文章谈到了在该设备中发现的重大漏洞。一篇特别值得一提的文章标题为Breaking the Internet of Vibrating Things，其中详细的介绍了在We-Connect应用中发现的严重缺陷，该应用软件可以应用于该厂商所有智能型号的产品。具体来说这一严重问题就是，未经用户授权收集用户敏感信息，导致了对Standard Innovation公司（现在该公司隶属于WOW公司的一部分）的一系列诉讼，以及随后在2017年支付了近370万美元的罚金。

在和解之后，该公司决定对该应用软件进行整改，以便从其系统中删除任何用户的个人信息痕迹。目前，该应用软件不会存储用户的个人数据，尽管在隐私保护政策中有明确说明，将会使用一个令牌与该设备IP作为识别设备的一种方式。此外，诸如语言、型号、操作系统版本、时间、日期和手机的唯一ID等数据都会被收集，而且用户可以选择在软件的设置中是否开启该功能，以便于共享上传其使用设备的额外信息。

在过去几年中，该软件的另一项改进是加入了证书锁定功能，这意味着该应用将会检查与它连接的服务器是否合法。使用这种客户端验证技术，在软件运行时，应用会将服务器证书与应用内部的受信证书列表进行比较，如果它们不匹配，连接就会被终止。

虽然这增加了终端用户的安全性，但通过修改APK的代码来包含一个自签名的证书或是用Frida等逆向工具对应用进行注入，就可以轻易的绕过证书锁定。

蓝牙连接问题

与许多的物联网设备一样，Jive使用BLE与用户的移动设备进行连接通信。BLE内主要的安全功能是128位加密和验证。在已经验证过连接的设备上通过BLE通信是安全的。然而，要建立连接，设备之间就必须先相互配对，而这也正是BLE的主要缺陷所在。

有关BLE协议的说明，要想了解该协议的详细原理可以参照我们发表的文章WeLiveSecurity。

在配对的第一阶段，Jive和移动设备会首先交换各自的基本信息来判断该如何建立连接。换句话说，它们会在网络中确认彼此的身份，解释它们是什么（设备类型、品牌、型号等），以及它们能做什么。而这种通信是没有经过加密的。

在配对的第二阶段涉及到生成和交换密钥。这里就是BLE连接可以被操作的地方了。如果连接没有足够的安全保障，攻击者就可以控制该设备以及在双方设备之间发送的数据。

最后，设备将它们在第一次配对时交换的数据进行保存，以确保未来再次连接时能够记住对方设备是安全的，这一过程就是绑定。

可以通过诸如使用临时密钥来授权连接的方法来让第二阶段的配对连接变得安全一点，或者使用BLE Secure进行连接，该功能包含在BLE 4.2版本的协议中，使用Diffie-Hellman算法生成密钥，并包含了一个更加复杂的认证流程。然而，Jive却并没有实现这些方法，这就使得它特别容易受到中间人攻击（MitM）。

此外，由于Jive需要不断地对外发布连接请求，来确保用户随时都能够连接到它，任何人都可以靠着一个简单的蓝牙扫描仪来寻找附件所有的蓝牙设备。事实上，这就是研究人员 Alex Lomas 做过的一项实验，他拿着智能手机在柏林街头散步，却发现了情趣用品连接蓝牙后的提示于是发现了它的存在walking the streets of Berlin with a smartphone discovering sex toys。这也能充分说明，即便是你就在你自己的家里，别人也有可能意外的接入你的设备。

就我们的Jive而言，由于它是一款可穿戴设备，旨在用户在日常生活中也可以佩戴它，这样的话风险就会增加。在这种情况下，攻击者可以识别该设备，并根据该设备发出信号的强度来作为引导，并逐渐接近，直到他们确认了该设备的佩戴者是何人。

图3中包含了蓝牙扫描器的截图，该扫描器同时发现了Jive和Lovense Max(我们将在下一节对其进行讨论，截图中显示信息为“LVS-B018”)。在第一张截图中，我们可以发现Jive使用它的型号来为其蓝牙身份进行命名，这就让它显得非常容易被识别出来。另一张截图中显示了信号强度为-69dBm，当扫描仪接近该设备时，这个信号水平会有所增加，以此来判断其具体所在位置。

一旦Jive与用户的设备连接，它就会停止进行广播，但当应用程序关闭时，连接断开，该玩具就又会开始进行广播。考虑到这一点，有一些”干扰器“天线可以用来阻断蓝牙信号，这些天线也可以被攻击者利用来断开与外部设备的连接，当受害设备试图重新连接时，就会连接到由攻击者所控制的设备上，从而对受害者设备进行控制。通过上述任何的一种方式，当合法用户没有连接Jive时，Jive就会连接到周边环境中的恶意设备。

一旦发现可用的Jive，攻击者甚至都不需要安装厂商的官方app，因为目前大多数浏览器中包含的蓝牙功能允许他们通过现有支持与情趣玩具互连的网站连接到Jive（或其他型号设备）并与之互动。这一严重性隐私问题正是导致苹果拒绝在其Safari浏览器中实现该蓝牙API的原因链接地址。

BLE 中间人攻击

BLE中间人攻击中涉及到一个恶意设备，它会在网络中声称是中心或是外部设备，并欺骗网络中的其他设备与之连接。在这种情况下，攻击者不仅可以在6—8米（约19—26英尺）的范围内对连接设备的流量进行窃听，而且还可以以一种隐蔽的方式向这些设备发送恶意的数据包来执行漏洞。避免这种攻击最好的方法就是使用安全合适的配对方式进行连接。

对于我们的Jive，它使用的配对方式是”Just Works“，这是所有方法中最不安全的一种（然而更不幸的是，大多数物联网设备都在出厂预配置中都使用了这种方法）。使用这种方法的话，在配对的第二阶段，设备的临时密钥将被设置为0，然后设备会在该前提下再去生成临时密钥的值。而这种方法会极易受到中间人攻击，因为任何设备都可以使用0作为临时密钥来参与连接。在实际中， 这就意味着未配对连接的Jive将会与任何要求它这样做的手机、电脑或平板电脑等设备进行配对连接，而不会进行任何的验证和认证。

这还不是唯一的问题：当Jive没有与移动端软件配对时，它会不断地广播来宣布自己正等待连接。这样的话，任何在离该设备9米范围之内的攻击者，都能够轻易地控制该设备。

在我们提出概念的验证中，我们使用了BtleJuice框架和两个BLE加密狗来复现一个用户和Jive之间的中间人攻击。您可以从该视频中看到这方面的演示：视频地址。

在这里，我们模拟了这样的一个场景：攻击者首先控制了一个Jive（由于缺乏认证，攻击这可以直接连接到Jive），然后根据原来Jive对外广播的信息设置并对外广播一个虚假的Jive设备。接下来，当用户决定连接该玩具时，他们实际连接到的其实是攻击者所公布的虚假设备。

然后，攻击者通过BtleJuice中web界面的功能，对用户发往该玩具的数据包进行捕获，以此来获得用于该玩具的工作模式、振动强度等信息。如果攻击者有意为之的话，他们还可以对截获的命令进行任意修改，改变玩具的工作模式或振动强度。最后他们甚至可以生成自己的命令并将其发送给玩具，即便是在用户没有参与交互的前提下。

元数据泄露

当我们对We-Connect用户之间的聊天会话中共享的多媒体文件进行分析时，我们发现这些文件会被保存在应用程序的私人文件夹中，所以它们并不会被安装在该设备上的其他应用访问到，并且在聊天结束时这些文件会被立即删除，从隐私的角度来看，这是一件好事。然而，在我们调查后却惊讶的发现，在共享的文件上仍会存在一些元数据。这就说明，当用户向远程手机发送照片时，他们可能也在发送他们设备的确切地理位置等信息。

从开发的角度来看，在设备上存储不受保护的敏感信息绝不是一件好事，即便是使用了诸如隐私文件夹一类的技术来储存它们。在这种情况下，一个拥有手机root权限的恶意用户就可以访问到这些文件，使用metapicz这样的网站对这些照片进行分析，就可以或得到关于这些图片的用户信息，包括GPS位置和手机型号等。

这一点是非常关键的，因为有许多Jive用户会在网上公开分享其设备的访问URL，故意将其设备的控制权交到完全陌生人的手上。当他们这样做的时候，可能并没有意识到他们无意中分享了一些比他们想象中更多的信息。

PIN码锁

该应用程序允许用户通过设置一个四位数的PIN码来对设备进行访问，但是该应用程序并没有在大量的错误尝试后强制执行任何制止行为，所以那些有条件在物理上接触到手机的人，利用一个bad USB在很短的时间内就能够暴出正确的PIN码。由于密码的可能性数量相对较少，攻击者可以在12小时内就完成所有密码可能性组合的尝试。您可以观看以下视频的演示视频地址。这个问题的解决方案可以是通过设置一个更加复杂的密码，在一定数量的错误尝试后，需在一段固定时间或呈指数增长时间后才能重新输入，或修改密码界面为图形化界面，让其包含一个网格状的按钮，而不是通过键盘进行输入。

Lovense

我们分析的第二款是设备是来自Lovense厂商的Max Masturbator。该设备的有趣之处在于它能够与另一个远程对照物进行同步，这个对照物可以是其他的Lovense的情趣玩具。这种同步行为使该设备可以复制出对照物的当前工作模式。从攻击者的角度来看，这种情况非常有趣，因为可以通过攻击其中的一个设备来获取两个设备的控制权。

隐私问题

不安全的设计

在Lovense Remote的应用中，首先引起我们注意的是一些具有争议的设计功能，在我们看来，这些设计可能会对用户之间分享的私密照片的保密性造成威胁。这里最明显的是转发照片的功能，它允许图片的接收方与第三方进一步分享该文件，而不需要征得图片原作者的同意，甚至都不会向其发送任何的提醒。

该应用程序还允许用户下载他们接收的任何多媒体内容，同样不会向文件的分享者发送任何提醒。这一功能允许该应用软件将接收到的媒体图像存储在手机的公共文件系统中，所以这些文件是可以被安装在手机上的其他应用访问到的。例如，这些图像会显示在谷歌照片上，甚至是会被第三方服务同步备份到云端。

虽然聊天功能中包含了删除信息的选项，但这仅仅是隐藏了本地的聊天信息，不会从远程的手机上删除。这反而就会使用户会对其产生误解，发送者认为之前分享的媒体图片已经从接收者的手机上删除掉了，并且这样的操作非常安全，但实际上却并非如此。

事实上，即使你对该用户进行了删除或是屏蔽操作，他也还是会从聊天记录中继续获得所有共享的媒体文件。在该应用软件的最新版本中，增加了一个消息撤回的功能，可以撤销并删除远程手机上的内容，但该功能只在消息发送后的两分钟内有效，超时后将永不可用。另外，恶意用户还可以利用截图功能对聊天中的任何内容进行截图。

发送到远程设备的媒体文件仅仅依靠HTTPS进行保护，没有进行端到端的加密，当媒体文件存储在服务器上时，该文件的保密程度就完全取决于该文件名的保密程度了，而文件名就是服务器在上传时生成的一段随机id。这些图片在服务器上会至少保存七天，尽管它们在服务器上的实际保留时间可能会更长。最后，一旦用户分享了一个内容，那么它们也就失去了对该内容的控制。

尽管这些本身不能算是漏洞，但是这些发现已经说明了严重的隐私问题。如今，在大多数的即时通讯软件中都会允许用户在任何时候删除信息，或是设置定时删除信息。它们会让你知道你收到的内容是否会被转发；它们还会实现端到端的加密。如果你在telegram上使用私密聊天的话，你就不能进行截图。随着日常即时通信软件变得越来越安全，人们当然会期望用户分享关于性内容的这类应用也能做到这一点。

信息泄露问题

尽管用户一般都会用花名来向对方介绍自己，但在Lovense Remote应用的消息发送过程中会使用用户登录邮箱来作为他们的用户ID。不仅如此，每个邮箱地址在参与聊天的所有手机中都是共享的，还会以明文文本的形式存储在某些地方，如共享偏好文件wear_share_data.xml。

这就意味着任意一个恶意用户都能够从他们的联系人那里获取到用户的邮箱列表。然后，攻击者可以利用这些信息在未经用户许可的情况下通过收集他们在网上的信息对用户进行身份识别，利用社会工程手段对用户进行各种后续攻击。

如果该电子邮件已经在服务器上注册过，那么攻击者就可以通过反向处理的方式来找到与某个特定邮箱地址相匹配的用户。这只需要向服务器发送一个GET请求，指明你想要查询的邮箱地址即可。

通过对token的暴力破解获取远程控制权

该应用的远程控制功能选项中不仅包含可以将设备控制权转交给联系人列表中的用户，还会生成一个格式为https :// api2.lovense.com/c/<TOKEN>的URL，其中的<TOKEN>部分是一个四位的数字与字母组合。也就是说远程用户只需要在浏览器中输入对应的URL就能够获取对该设备的控制权。

一些用户会选择公开他们的tokens，无论是作为个人选择还是作为视频女郎服务的一部分。Reddit就算是匿名分享这些token的最佳选择。在配置文件中使用邮箱地址作为用户的ID，可能会对用户的隐私甚至是人身安全造成威胁，因为他们甚至都不知道自己到底泄露的多少信息。

该应用会向用户发送警告，若tokens在30分钟内不活动或该应用生成新的tokens后原先的tokens就会失效。但是，我们可以确认的是，该tokens在半小时结束后，仍然会处于活跃状态。我们无法确定该tokens过期的具体时间范围，也无法确定它们是为何过期的，因为有些tokens甚至是活跃了好几天。

令人惊讶的是，对于这样一个可能性组合相对较少的短标记（在一个下载量超一百万的app上有着1,679,616种可能的tokens），而服务器也没有针对暴力攻击做任何的防护。因此，新的问题出现了。是否有可能通过暴力破解的方式来找到有效（即便是在某个时间点存在过的）或是活跃中的（即尚未过期且仍然允许远程控制）的tokens。

为了了解其tokens的工作原理，我们在测试的智能手机上安装了Lovense Remote应用，准备了一个Lovense Max设备和一个桌面浏览器。我们在一个受控环境中生成了tokens，并研究浏览器与其他手机访问tokens之间的流量。

当请求了不存在的tokens时，服务器会重定向到redirect，并返回JSON信息{“result”:true,”code”:404,”message”:”Page Not Found”}。如果tokens是有效的话，服务器会重定向到另一个格式为https://[apps|api2].lovense. com/app/ws/play/<SID>的URL，然后又会重定向到https://[apps|api2].lovense.com/app/ ws2/play/<SID>。其中<SID>是会话ID：一个类似于MD5的字符串，可以识别用户和为其生成的设备ID。当一个tokens时限到了的话就会过期（推测是这样），或者当有用户访问了经历了整个重定向过程后最终的URL时就会过期。

由此，我们可以通过来自服务器的响应，来推断区分有可能有效的、活跃的和过期的tokens。为了验证其真实性，我们首先列出几十个tokens值来：我们用我们的设备生成了一些tokens，然后又添加了一些其他的随机tokens。大多数设备生成的tokens已经过期，但仍有一个可用的tokens。然后我们编写了一个简单的Python脚本，用来处理这一组tokens，当找到有效tokens时就会在浏览器中打开最终生成的URL，并在为本研究而设计的chrome插件下验证会话是否过期。如果会话处于活跃状态，它就会通过telegram机器人向指定账户发送一条消息，通知它发现了一个新的控制面板。我们为此还录制了一个验证视频，视频地址。

通过与供应商一起合作，我们可以完全确认，有可能使用暴力手段从随机用户那里获得到有效tokens。这是一个及其严重的漏洞，因为它允许攻击者在用户不同意或不知情的情况下，轻易地通过这些活跃的tokens对其连接的设备进行远程劫持。这个漏洞的解决方案可以通过增加tokens的长度，以减少被正确猜测的几率。以及在第一次重定向后立即使tokens失效，取消重定向的过程，或在服务器上配置防暴力破解的机制。

蓝牙连接问题

Lovense Max设备的BLE连接过程中也不包含认证，所以也可以用中间人攻击来对连接进行拦截，并且可以用上述介绍Jive的攻击方式来发送命令。在对设备和手机之间的通信进行嗅探时，控制设备电机的命令很容易就被拦截。

固件更新问题

说到固件更新，Lovense Remote也有一些不足之处。当应用程序向服务器发送消息时，固件的更新过程就开始了，询问是否有任何适用于该类型设备、该ID和当前版本的更新。如果有的话，服务器会返回一个加密后的URL，以及要下载的ZIP文件的哈希值。

然而，由于没有使用证书锁定，而且解密密钥保存在应用程序的代码中，攻击者通过创建一个脚本来拦截数据包并将受害者重定向到攻击者的恶意URL还是比较简单的。

避免这些风险的最佳做法

为了尽量减少与使用智能情趣设备有关的风险，我们建议牢记以下有关隐私信息的建议：

一些应用提供了无需创建用户账户就可以通过BLE对本地设备进行控制的功能。如果你不想让其他用户通过互联网对你的设备进行远程控制，可以试着找一些此类应用。

尽量不要分享一些与你身份有关的照片或视频，更不要在网上公开设备的控制令牌。

避免使用可能识别出你的真实姓名或电子邮件来注册情趣应用，换句话说，要尽可能的保持匿名。可以考虑创建一个新的电子邮件账户，专门用于注册这些应用程序。

始终阅读所注册用来发送任意消息的应用或网站中的隐私条款。尤其是注意那些有关公司收集数据的部分。应避免使用没有隐私保护政策厂商的产品。

对这些隐私保护政策进行定期检查，检查是否有更新。定期访问这些厂商的网站来检查那些没有在应用程序中对外公布的隐私政策。

在受保护的环境中使用这些智能情趣玩具，避免在公共场所或有外人经过的地方（如酒店）中使用。

在使用这些玩具的过程中，保持应用程序与玩具之间的连接，这样就可以防止该玩具不断对外广播自己的存在。

在不使用该设备时，应关闭该设备并禁用蓝牙。

在购买此类设备之前，可以下载控制设备所需应用并试用其功能，以了解该应用的安全程度。另一个建议是可以在搜索引擎中来搜索该型号设备安全是否存在严重的历史漏洞，是否有过安全补丁，以及开发商是否对该产品经常更新。可以向客服部门发送电子邮件来说明你在这方面的任何顾虑。

始终做好控制情趣用品的移动设备的保护，保持设备的更新，并在移动设备中安装安全软件。

使用强密码、安全的加密算法并定期更新路由器的固件来对您的家用无线网络进行保护。

最后，如果您认为或者已经了解你持有的设备有严重的漏洞，我们强烈建议您应避免使用该设备的远程控制功能，尽可能在不使用该设备时禁用设备蓝牙或远程连接。

未来研究方向

正如你所注意到的那样，在本次分析中，我们只针对了安卓系统中的应用进行了研究，因此，对于iOS设备中应用的安全性还有待观察。此外，由于某些主观原因，我们无法对其他型号设备的固件及其与之通信的控制应用进行分析。未来，我们期望能够获得更多其他品牌的新设备，以便于在该领域展开第二波的研究。另外，通过模糊测试技术对设备固件本身进行研究，目前对于我们来说仍是一个需要探索的方面。

另一方面，一些约会和配对软件也被看作是数字化性行为道路上最早的发展手段之一，然而这条道路也并非是畅通无阻的。

例如，一款名为Tinder的应用就存在着缺陷，它允许人们去获取其他用户的地理位置，或通过伪造虚假的个人资料在其他用户不知情未授权的情况下与该用户进行连接。随着用户数量的不断上升，诈骗行为在这些平台上也开始变得司空见惯了。与此同时，新兴的应用也在不断的涌现，如今已经有了一个非常广泛的范围来供那些用户选择。通过对约会和配对软件及其安全漏洞进行系统性的分析，来确定该类软件的安全程度，将会对这项有关数字化情趣安全的研究做出很好的补充。

最后，如今在情趣机器人的设计和制造技术上也取得了一些进展。其中的部分型号产品包含了摄像头，麦克风，以及一些基于机器学习的语音分析能力。由于我们已经意识到了那些基于机器人环境下的漏洞，我们与那些情趣机器人的厂商取得了联系，想向他们取得一些关于机器人安全功能上的信息，但是就结果来说，并不让人感到高兴。很多机器人都还是依靠于我们的智能手机，就像是管理外部设备那样去管理这些传感器，并且是通过这些控制通信软件来增加它们的机器学习功能。这些应用软件还都不是通过官方应用商店提供的，而是以电子邮件的形式向用户进行发放，这一点上就造成了很大的一个安全漏洞。如今，在某些妓院中用机器人来代替性工作者已经变成了现实，那么为了促进这些新行业新技术的发展，对其在信息安全方面的局限性进行研究是至关重要的。

原文链接：https://www.welivesecurity.com/2021/03/11/sex-digital-era-how-secure-are-smart-sex-toys/