Игрушка для взрослых знает твой email. И не стесняется рассказать об этом всем
NewsMakerLovense утратила контроль: баг раскрывает личные данные даже без взлома.
В платформе Lovense, которая давно заняла нишу благодаря управляемым через приложение секс-игрушкам (включая такие модели, как Lush, Gush и Kraken), исследователи выявили критическую уязвимость, позволяющую получить адрес электронной почты любого человека, зная лишь его логин. Ошибка затрагивает как обычных пользователей, так и моделей, использующих Lovense в стримах и шоу. Поскольку ники на платформе нередко публикуются в открытом доступе — на форумах или в соцсетях — злоумышленники могут без особых усилий установить соответствие между логином и реальной электронной почтой, создавая угрозу доксинга и преследования.
Обнаружил уязвимость исследователь под псевдонимом BobDaHacker, который совместно с коллегами Eva и Rebane провёл реверс-инжиниринг приложения и автоматизировал процесс атаки. В ходе анализа выяснилось, что баг кроется во взаимодействии между серверной частью Lovense и их XMPP-чатом, через который происходит обмен сообщениями между пользователями.
По словам исследователя, уязвимость была обнаружена случайно — при попытке заблокировать уведомления от другого пользователя через интерфейс Lovense. После нажатия кнопки "Mute" он изучил ответ API и с удивлением обнаружил в нём чужой email-адрес. Это вызвало подозрение, и дальнейший анализ показал: если воспользоваться определённым алгоритмом и сформировать корректный запрос, можно по открытому нику любого участника платформы получить его адрес. Причём такой сбор данных можно легко автоматизировать, запрашивая информацию массово и с высокой скоростью.
Атака разворачивается по следующей схеме: сначала злоумышленник делает POST-запрос к эндпоинту
Сервер в ответ на запрос возвращает подставной email-адрес, на основе которого формируется искусственный Jabber ID (JID). Этот идентификатор добавляется в список контактов XMPP-чата, и после отправки стандартного запроса на добавление в друзья (через XMPP-протокол) происходит обновление списка пользователей. В результате в ростере появляется не только поддельный, но и настоящий JID, сформированный по шаблону, где вместо логина и домена подставляется реальный адрес электронной почты жертвы — например, строка вида
Сбор логинов, как отмечают аналитики, не представляет труда — их публикуют на сайтах, таких как lovenselife.com, и в профилях моделей. Кроме того, фирменное расширение FanBerry, выпущенное Lovense, может использоваться для автоматического сбора логинов, особенно учитывая, что многие стримеры используют одинаковые ники на разных платформах.
Это не единственная проблема: исследователи нашли и критическую уязвимость, позволяющую полностью захватывать аккаунт . Для эксплуатации достаточно знать адрес электронной почты. С помощью него можно сгенерировать действительный токен gtoken — без ввода пароля — и войти в любую часть экосистемы Lovense, включая приложения Lovense Connect, StreamMaster и Cam101. Причём, по заявлению исследователей, уязвимость распространялась и на аккаунты администраторов.
Позже Lovense частично устранила эту дыру — теперь токены отклоняются на уровне API, но сами gtoken по-прежнему можно создать, не вводя пароль. Оба бага были изначально задокументированы и отправлены в компанию 26 марта 2025 года, а также продублированы через HackerOne. В апреле Lovense сообщила, что проблема с email уже известна и будет устранена в будущей версии приложения.
Сначала компания принизила важность уязвимости с захватом аккаунта, но после пояснений о том, что она даёт полный доступ, включая административный, согласилась присвоить ей статус критической. В общей сложности команда исследователей получила $3000 за обнаруженные бага.
На 4 июня Lovense отчиталась о полном устранении обеих проблем, но исследователи опровергли это, подтвердив, что ошибка с раскрытием email всё ещё сохраняется. В июле была полностью закрыта только дыра с gtoken. Что касается второго бага, Lovense заявила, что на его устранение потребуется около 14 месяцев, поскольку изменение нарушит совместимость с устаревшими версиями клиента.
Компания также рассматривала "быстрое исправление" за месяц, но отказалась от этой идеи, поскольку оно потребовало бы немедленного обновления всеми пользователями. Вместо этого решили запустить долгосрочный план, разбитый на два этапа: 10 месяцев на основную реализацию и ещё 4 — на полное внедрение изменений.
"Пользователи заслуживают большего. Прекратите ставить поддержку старых клиентов выше безопасности. Исправьте баги и проверьте, что они действительно устранены", — заявил BobDaHacker в финальном отчёте.
По утверждению Lovense, 3 июля компания развернула предложенную исследователями прокси-функцию для смягчения атаки. Однако даже после принудительного обновления баг с email остался, и остаётся неясным, что именно было изменено. Напомним, что ещё в 2016 году компания уже сталкивалась с уязвимостями, позволявшими определить наличие учётной записи по email или напрямую извлекать его из запросов.
В платформе Lovense, которая давно заняла нишу благодаря управляемым через приложение секс-игрушкам (включая такие модели, как Lush, Gush и Kraken), исследователи выявили критическую уязвимость, позволяющую получить адрес электронной почты любого человека, зная лишь его логин. Ошибка затрагивает как обычных пользователей, так и моделей, использующих Lovense в стримах и шоу. Поскольку ники на платформе нередко публикуются в открытом доступе — на форумах или в соцсетях — злоумышленники могут без особых усилий установить соответствие между логином и реальной электронной почтой, создавая угрозу доксинга и преследования.
Обнаружил уязвимость исследователь под псевдонимом BobDaHacker, который совместно с коллегами Eva и Rebane провёл реверс-инжиниринг приложения и автоматизировал процесс атаки. В ходе анализа выяснилось, что баг кроется во взаимодействии между серверной частью Lovense и их XMPP-чатом, через который происходит обмен сообщениями между пользователями.
По словам исследователя, уязвимость была обнаружена случайно — при попытке заблокировать уведомления от другого пользователя через интерфейс Lovense. После нажатия кнопки "Mute" он изучил ответ API и с удивлением обнаружил в нём чужой email-адрес. Это вызвало подозрение, и дальнейший анализ показал: если воспользоваться определённым алгоритмом и сформировать корректный запрос, можно по открытому нику любого участника платформы получить его адрес. Причём такой сбор данных можно легко автоматизировать, запрашивая информацию массово и с высокой скоростью.
Атака разворачивается по следующей схеме: сначала злоумышленник делает POST-запрос к эндпоинту
/api/wear/genGtoken, используя свои собственные учётные данные. В ответ сервер выдаёт токен аутентификации (gtoken), а также ключи для симметричного шифрования (AES-CBC). Затем любой известный логин шифруется полученными ключами, после чего отправляется на /app/ajaxCheckEmailOrUserIdRegisted?email={encrypted_username}. Сервер в ответ на запрос возвращает подставной email-адрес, на основе которого формируется искусственный Jabber ID (JID). Этот идентификатор добавляется в список контактов XMPP-чата, и после отправки стандартного запроса на добавление в друзья (через XMPP-протокол) происходит обновление списка пользователей. В результате в ростере появляется не только поддельный, но и настоящий JID, сформированный по шаблону, где вместо логина и домена подставляется реальный адрес электронной почты жертвы — например, строка вида
bleeping!!!example.com_w@im.lovense.com указывает на email bleeping@example.com. Сбор логинов, как отмечают аналитики, не представляет труда — их публикуют на сайтах, таких как lovenselife.com, и в профилях моделей. Кроме того, фирменное расширение FanBerry, выпущенное Lovense, может использоваться для автоматического сбора логинов, особенно учитывая, что многие стримеры используют одинаковые ники на разных платформах.
Это не единственная проблема: исследователи нашли и критическую уязвимость, позволяющую полностью захватывать аккаунт . Для эксплуатации достаточно знать адрес электронной почты. С помощью него можно сгенерировать действительный токен gtoken — без ввода пароля — и войти в любую часть экосистемы Lovense, включая приложения Lovense Connect, StreamMaster и Cam101. Причём, по заявлению исследователей, уязвимость распространялась и на аккаунты администраторов.
Позже Lovense частично устранила эту дыру — теперь токены отклоняются на уровне API, но сами gtoken по-прежнему можно создать, не вводя пароль. Оба бага были изначально задокументированы и отправлены в компанию 26 марта 2025 года, а также продублированы через HackerOne. В апреле Lovense сообщила, что проблема с email уже известна и будет устранена в будущей версии приложения.
Сначала компания принизила важность уязвимости с захватом аккаунта, но после пояснений о том, что она даёт полный доступ, включая административный, согласилась присвоить ей статус критической. В общей сложности команда исследователей получила $3000 за обнаруженные бага.
На 4 июня Lovense отчиталась о полном устранении обеих проблем, но исследователи опровергли это, подтвердив, что ошибка с раскрытием email всё ещё сохраняется. В июле была полностью закрыта только дыра с gtoken. Что касается второго бага, Lovense заявила, что на его устранение потребуется около 14 месяцев, поскольку изменение нарушит совместимость с устаревшими версиями клиента.
Компания также рассматривала "быстрое исправление" за месяц, но отказалась от этой идеи, поскольку оно потребовало бы немедленного обновления всеми пользователями. Вместо этого решили запустить долгосрочный план, разбитый на два этапа: 10 месяцев на основную реализацию и ещё 4 — на полное внедрение изменений.
"Пользователи заслуживают большего. Прекратите ставить поддержку старых клиентов выше безопасности. Исправьте баги и проверьте, что они действительно устранены", — заявил BobDaHacker в финальном отчёте.
По утверждению Lovense, 3 июля компания развернула предложенную исследователями прокси-функцию для смягчения атаки. Однако даже после принудительного обновления баг с email остался, и остаётся неясным, что именно было изменено. Напомним, что ещё в 2016 году компания уже сталкивалась с уязвимостями, позволявшими определить наличие учётной записи по email или напрямую извлекать его из запросов.