De l’injection de code pour prendre le contrôle d’un sextoy connecté

injection code sextoy connecté

Sarah Jamie Lewis est chercheuse experte en anonymat et vie privée. Elle s'est récemment intéressé à un objet très en vogue ces derniers temps, le sextoy connecté. Celui sur lequel elle a enquêté propose une fonctionnalité pour "envoyer une fellation". Tout un programme ! Mais c'est ici que les choses se compliquent.

Dans la discussion Twitter juste ici, on apprend comment la jeune femme a découvert tout cela. Et comme elle pu obtenir les fichiers “sensibles” et réaliser des injections de code. Sans nommer le sextoy connecté en question, elle explique que cet objet permet notamment d’envoyer, littéralement, une fellation à son partenaire par email. Ceci en décrivant la vitesse, le mouvement – juste le gland, gorge-profonde, etc -, et bien d’autres paramètres.

Malheureusement, dans le lien transmis contenait les versions encodée en base 64 de toute l’opération. Une attaque de type XSS était donc envisageable… Et effectivement réalisable, le fabricant n’ayant alors mis aucune protection en place. Comme le précise Sarah Jamie Lewis : “je vous laisser imaginer les conséquences d’une vulnérabilité XSS sur une page sans frame busting et une connexion préauthentifiée à un robot placé autour ou dans les parties génitales de quelqu’un…

Effrayant, n’est-ce pas ? Fort heureusement, comme elle l’explique dans la discussion Twitter, elle avait découvert la faille en Mars dernier. Celle-ci fut corrigée quelques mois plus tard, en désactivant toute la fonctionnalité.

Sarah Jamie Lewis, de son côté, poursuit sa mission : tenter de désanonymiser les gens via les fellations qu’ils envoient à leur partenaire. Ou en tout cas, montrer que c’est possible. Dans une optique plus large, elle travaille sur OnionScan, un outil d’investigation du dark web, à la recherche de vecteurs de désanonymisation. Si vous souhaitez l’aider, direction sa page Patreon.

Tags :Via :Boing Boing
Dernières Questions sur UberGizmo Help
  1. Se faire désanonymiser par une fellation ou un plug anal connecté à OnionScan… Ce n’est plus une news, c’est un honey pot pour les trolls de competition…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité