“Seu pau é meu agora”, disse um cibercriminoso após arrombar o cinto de castidade da vítima. Com o controle fálico do indivíduo, o cibercriminoso pediu um resgate de Bitcoin para devolver a chance da vítima de ter uma ereção novamente. As informações são da Vice.
A conversa entre o cibercriminoso e a vítima foi obtida pelo pesquisador de segurança Smelly, que relata ter conversado com várias pessoas que foram vítimas de ataques a dispositivos inteligentes de castidade.
Os cibercriminosos estão se aproveitando de uma vulnerabilidade na API Cellmate, que é fabricada pela internet das coisas chinesa – sexual – Qiui. A vulnerabilidade, no entanto, foi descoberta em outubro de 2020 por um grupo de pesquisadores de segurança do Reino Unido.
(Todos os seus pênis pertencem a nós)
O cinto de castidade, ou gaiola de castidade, é um dispositivo historicamente projetado para mulheres, mas hoje muito comum entre os homens, especialmente aqueles na comunidade BDSM. Funciona como uma gaiola para o pênis, evitando sua ereção, masturbação ou atividade sexual.
Ao fechar a gaiola, ela deve permanecer fechada até que o parceiro sexual, que tem a chave – neste caso um aplicativo -, libere a fechadura. O cinto de castidade Qiui é controlado por um microcontrolador integrado. A vulnerabilidade, quando explorada, permite que um cibercriminoso acesse e assuma o controle total deste microcontrolador, remotamente.
“A QIUI acredita que uma verdadeira experiência de castidade é aquela que não permite ao usuário ter nenhum controle sobre ela”, diz o anúncio do produto na loja online da empresa. Seguindo esse lema, a empresa oferece o controle da castidade não para seus usuários, muito menos para seus parceiros, mas para qualquer outro interessado.
A empresa relata que lançou uma atualização de software, que corrige a vulnerabilidade, além de uma solução, digamos, mais física – calma que não é um martelo -, para desmontar o aparelho com uma chave de fenda.
Uma das vítimas que falou com a Vice relatou que o cibercriminoso pediu um resgate de 0,02 Bitcoin (cerca de US $ 37.000) e sua gaiola “inteligente” estava na verdade trancada, mas felizmente seu pênis não estava dentro dela. Outra vítima, que prefere ser chamada de RJ, disse que o cibercriminoso entrou em contato com ele exigindo um resgate para liberar o cadeado. “Eu não era o dono da gaiola, então não tive controle sobre ela em nenhum momento”, disse ele.
IoT dá errado
As soluções de IoT podem ser muito úteis profissionalmente, em empresas e indústrias, para automatizar processos e aumentar a produtividade. Mas, o fato de estarem conectados a internet o tempo todo, torna-os, além de mais vulneráveis, mais atrativos para criminosos na internet, pois ao acessar a rede do aparelho é possível acessar a rede local, em ao qual o dispositivo está conectado.
Dispositivos inteligentes, como são conhecidos os dispositivos equipados com Internet das Coisas (IoT), ou seja, que se conectam à Internet, não possuem uma boa reputação por sua segurança. O Hack já cobriu vários casos de vulnerabilidades críticas encontradas em diferentes segmentos deste equipamento.
Como é o caso dos smart bells, ainda vendidos na Amazon e em outros sites hoje, que em vez de proteger sua casa, abrem as portas de sua rede e de suas câmeras de vigilância para os cibercriminosos.
Ele também tem o histórico de alimentadores para animais de estimação da Xiaomi, comercializados por cerca de US $ 800, que um pesquisador conseguiu acessar todas as quase 11.000 unidades do dispositivo no ano passado. Uma lâmina de cabelo piromaníaco e até uma vela (sim, uma vela) que se acende através de um aplicativo (?).
“Quase todas as empresas e produtos terão algum tipo de vulnerabilidade em suas vidas. Talvez não tão ruim quanto este [cinto de castidade], mas alguma coisa. É importante que todas as empresas tenham uma forma de os pesquisadores entrarem em contato”, disse Alex Lomas, pesquisador de segurança da Pentest Partners, que analisou o caso.
Fontes: Vice; Techcrunch; Qiui.