В «умном» поясе верности нашли уязвимость: его можно заблокировать так, что понадобится болгарка

Впрочем, мощный болторез или прямая подача напряжения на моторчик тоже должны помочь.

Исследователи из Pen Test Partners обнаружили критическую уязвимость в «умном» поясе верности для мужчин, выпускаемом компанией Qiui. Этим устройством, целиком блокирующим гениталии пользователя, можно управлять удаленно.

Для удаленного управления используется приложение, взаимодействующее с замком пояса верности с помощью специального API. Исследователи выяснили, что практически API не защищено: при желании получить контроль над устройством довольно легко.

По словам исследователей, с помощью найденной уязвимости можно навсегда заблокировать замок «умного» пояса верности. Нужно лишь, чтобы его владелец разрешил управление замком другому пользователю; предполагается, что для этого и приобретаются такие устройства.

После блокировки замка устройство можно перевести — тоже через API — в автономный режим. После этого его невозможно снять обычным образом. Производитель позиционирует это как преимущество: в рекламе Qiui отмечается, что носителю не удастся избавиться от пояса верности, если «господин» или «госпожа» этого не хочет.

Сам пояс верности, отмечают исследователи, сделан очень надежно. При активации замка он блокируется толстым металлическим кольцом; чтобы его снять, потребуется использовать либо болгарку, либо мощный болторез.

Еще один вариант — добраться до электронной платы пояса, вскрыв корпус, и подать напряжение напрямую на моторчик, управляющий замком. Исследователи выяснили, что для этого хватит напряжения в 3 вольта — достаточно пары батареек.

Компании-производителю пояса известно о проблеме с апреля 2020 года, однако она все еще не устранена окончательно. Хотя была создана новая, защищенная версия API, старый программный интерфейс тоже работает.

По словам производителя, проблема в том, что отключение старого API тоже заблокирует пользователей пояса верности, не обновивших свои приложения и закрывших замки устройств.

Проблемы с поясом, пишет TechCrunch, возникают и без участия хакеров. У некоторых пользователей устройство самопроизвольно блокировалось, а через некоторое время так же самопроизвольно открывалось; один из пользователей был травмирован, на восстановление ушел месяц.