Lovense 性玩具应用程序漏洞泄露用户私人电子邮件地址
字数 1512 2025-09-01 11:26:03

Lovense 性玩具应用程序漏洞分析报告

漏洞概述

Lovense是一家互动性玩具制造商,其应用程序控制的性玩具在全球拥有2000万用户。2025年3月26日,安全研究人员BobDaHacker、Eva和Rebane发现了两个关键漏洞:

  1. 严重的账户劫持漏洞(已修复)
  2. 用户私人电子邮件地址泄露漏洞(部分修复)

漏洞技术细节

电子邮件泄露漏洞机制

该漏洞源于Lovense的XMPP聊天系统与平台后端之间的交互问题:

  1. 初始发现:研究人员在将用户静音时,API响应中意外包含了电子邮件地址

  2. 攻击流程

    • 攻击者使用自己的凭据向/api/wear/genGtoken端点发送POST请求
    • 服务器返回gtoken(身份验证令牌)和AES-CBC加密密钥
    • 攻击者获取目标用户名,使用加密密钥进行加密
    • 发送加密后的用户名到/app/ajaxCheckEmailOrUserIdRegisted?email={encrypted_username}端点
    • 服务器响应包含虚假电子邮件地址,可转换为XMPP服务器使用的虚假Jabber ID(JID)
    • 将此假JID添加到XMPP联系人列表并发送状态订阅请求
    • 刷新名册后,系统会显示包含真实JID的条目
    • 真实JID格式为username!!!domain.com_w@im.lovense.com,可直接提取出用户真实邮箱username@domain.com

  3. 自动化攻击:使用脚本可在不到一秒内完成对单个用户的攻击

账户劫持漏洞(已修复)

虽然文档中未详细描述该漏洞的技术细节,但已知:

  • 最初被Lovense低估其严重性
  • 可能允许完全管理员账户访问权限
  • 最终于2025年7月修复

漏洞修复时间线

  1. 2025年3月26日:研究人员向Lovense报告两个漏洞
  2. 2025年4月
    • 漏洞提交至HackerOne
    • Lovense声称电子邮件问题已知晓,将在未来版本修复
    • 账户劫持漏洞被重新分类为严重漏洞
  3. 2025年6月4日:Lovense声称漏洞已修复,但研究人员证实未修复
  4. 2025年7月
    • 账户劫持漏洞被修复
    • Lovense部署代理功能缓解电子邮件泄露攻击
    • 公司表示完整修复电子邮件漏洞需要14个月(至2026年9月)
  5. 修复延迟原因:保持对旧版本应用程序的兼容性

安全建议

  1. 对Lovense用户的建议

    • 立即更新应用程序至最新版本
    • 考虑暂时使用替代邮箱注册账户
    • 警惕可能的钓鱼攻击(攻击者可能利用泄露的邮箱进行针对性攻击)

  2. 对Lovense公司的批评

    • 不应将旧应用支持置于安全之上
    • 应在声称修复前进行充分测试
    • 漏洞披露过程中存在沟通不畅问题

  3. 对开发者的启示

    • API响应中不应包含敏感信息
    • XMPP/Jabber实现需特别注意隐私保护
    • 用户标识符不应直接映射到可识别的个人信息
    • 加密实现需要全面评估,避免设计缺陷导致信息泄露

漏洞影响评估

  1. 影响范围:全球2000万Lovense用户
  2. 风险等级
    • 电子邮件泄露:中高(可导致隐私泄露和后续攻击)
    • 账户劫持:严重(已修复)
  3. 利用难度:低(可自动化攻击)

研究人员反馈

  • 获得总计3000美元的漏洞奖励
  • 对Lovense的修复速度和沟通方式表示不满
  • 强调用户安全应优先于向后兼容性

技术防护措施

  1. 临时缓解措施

    • Lovense部署的代理功能(具体机制未公开)

  2. 建议的完整修复方案

    • 重构XMPP JID生成机制,避免直接暴露邮箱
    • 实现真正的匿名标识系统
    • 强制应用更新,放弃对不安全旧版本的支持

本报告基于2025年8月3日公开的漏洞信息整理,反映了截至该日期的已知情况。后续修复进展可能需要进一步跟踪确认。

Lovense 性玩具应用程序漏洞分析报告 漏洞概述 Lovense是一家互动性玩具制造商,其应用程序控制的性玩具在全球拥有2000万用户。2025年3月26日,安全研究人员BobDaHacker、Eva和Rebane发现了两个关键漏洞: 严重的账户劫持漏洞(已修复) 用户私人电子邮件地址泄露漏洞(部分修复) 漏洞技术细节 电子邮件泄露漏洞机制 该漏洞源于Lovense的XMPP聊天系统与平台后端之间的交互问题: 初始发现 :研究人员在将用户静音时,API响应中意外包含了电子邮件地址 攻击流程 : 攻击者使用自己的凭据向 /api/wear/genGtoken 端点发送POST请求 服务器返回gtoken(身份验证令牌)和AES-CBC加密密钥 攻击者获取目标用户名,使用加密密钥进行加密 发送加密后的用户名到 /app/ajaxCheckEmailOrUserIdRegisted?email={encrypted_username} 端点 服务器响应包含虚假电子邮件地址,可转换为XMPP服务器使用的虚假Jabber ID(JID) 将此假JID添加到XMPP联系人列表并发送状态订阅请求 刷新名册后,系统会显示包含真实JID的条目 真实JID格式为 username!!!domain.com_w@im.lovense.com ,可直接提取出用户真实邮箱 username@domain.com 自动化攻击 :使用脚本可在不到一秒内完成对单个用户的攻击 账户劫持漏洞(已修复) 虽然文档中未详细描述该漏洞的技术细节,但已知: 最初被Lovense低估其严重性 可能允许完全管理员账户访问权限 最终于2025年7月修复 漏洞修复时间线 2025年3月26日 :研究人员向Lovense报告两个漏洞 2025年4月 : 漏洞提交至HackerOne Lovense声称电子邮件问题已知晓,将在未来版本修复 账户劫持漏洞被重新分类为严重漏洞 2025年6月4日 :Lovense声称漏洞已修复,但研究人员证实未修复 2025年7月 : 账户劫持漏洞被修复 Lovense部署代理功能缓解电子邮件泄露攻击 公司表示完整修复电子邮件漏洞需要14个月(至2026年9月) 修复延迟原因 :保持对旧版本应用程序的兼容性 安全建议 对Lovense用户的建议 : 立即更新应用程序至最新版本 考虑暂时使用替代邮箱注册账户 警惕可能的钓鱼攻击(攻击者可能利用泄露的邮箱进行针对性攻击) 对Lovense公司的批评 : 不应将旧应用支持置于安全之上 应在声称修复前进行充分测试 漏洞披露过程中存在沟通不畅问题 对开发者的启示 : API响应中不应包含敏感信息 XMPP/Jabber实现需特别注意隐私保护 用户标识符不应直接映射到可识别的个人信息 加密实现需要全面评估,避免设计缺陷导致信息泄露 漏洞影响评估 影响范围 :全球2000万Lovense用户 风险等级 : 电子邮件泄露:中高(可导致隐私泄露和后续攻击) 账户劫持:严重(已修复) 利用难度 :低(可自动化攻击) 研究人员反馈 获得总计3000美元的漏洞奖励 对Lovense的修复速度和沟通方式表示不满 强调用户安全应优先于向后兼容性 技术防护措施 临时缓解措施 : Lovense部署的代理功能(具体机制未公开) 建议的完整修复方案 : 重构XMPP JID生成机制,避免直接暴露邮箱 实现真正的匿名标识系统 强制应用更新,放弃对不安全旧版本的支持 本报告基于2025年8月3日公开的漏洞信息整理,反映了截至该日期的已知情况。后续修复进展可能需要进一步跟踪确认。