漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0136697
漏洞标题:成人用品之realov(睿乐)跳蛋可被搜索并直接控制肆意寻找附近的跳蛋女神(视频演示)
相关厂商:realov(睿乐)
漏洞作者: 宋兵甲
提交时间:2015-08-24 23:30
修复时间:2015-10-08 23:32
公开时间:2015-10-08 23:32
漏洞类型:非授权访问
危害等级:高
自评Rank:10
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-08-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-08: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
成人用品之realov(睿乐)跳蛋可被搜索并直接控制肆意寻找附近的跳蛋女神(视频演示)
视频演示:http://v.youku.com/v_show/id_XMTMxODM1NzU4MA==.html
密码:wooyundemo
详细说明:
情趣用品的智能化也催生了更多的使用场景,realov(睿乐)的智能跳蛋可随身携带,realov原版APP外观看上去就是一个音乐播放器,你真以为女神在听音乐?而蓝牙连接的弱校验问题可导致设备被黑客搜索到并定位,还可以直接连接让女神震动到GC
漏洞证明:
先说下产品吧,APP端和设备端,蓝牙方式链接,跳蛋类产品中蝴蝶XX分类是专门用于随身携带的,然后手机APP看上去像是一个音乐播放器,还真的能播放音乐,但设备是随着音乐播放的。
介绍完了之后说下问题怎么回事,首先蓝牙链接密码所有产品都是一个,在APP里面逆向能直接拿到,密码是“000000”。
设备的蓝牙信号统一为REALOV_VIBE,我说能换个名字么。。。VIBE就是跳蛋的意思。
设备UUID:00001101-0000-1000-8000-00805F9B34FB
APP与设备之间的通信协议:
震动:0xC5 0x01 0xAA
停止震动:0xC5 0x55 0x00 0xAA
ChangeProgress: 0xC5 0x55 0xAA
读的信息也有一些,意义不大。
有了这些之后就可以搜索,依据蓝牙信号模拟定位,连接并控制了,其实很多设备都有这个问题,智能化给黑客提供了更多的场景。
演示视频:
密码:wooyundemo
修复方案:
在现有体系上,设备端如果能做一些校验,比如指定唯一接入的控制端等可以有效控制权限
版权声明:转载请注明来源 宋兵甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:15 (WooYun评价)