しかし、イギリスのセキュリティ企業であるPen Test Partnersは、このCellmate Chastity Cageとスマートフォンアプリ間の通信に使用されるAPIの欠陥によって、Cellmate Chastity Cageをユーザー以外でもリモートで制御可能となってしまう可能性があると指摘しています。
Cellmate Chastity Cageは金属製のリングに男性器を通して固定する仕組みとなっているため、アプリを使わずに取り外すには、Cellmate Chastity Cageに内蔵されているモーターを直接駆動させて電気式のロックを解除するか、あるいは「繊細で敏感な領域」のすぐ近くで金属リングをグラインダーで切削する必要があり、Pen Test Partnersは「ロックされて外れなくなったCellmate Chastity Cageを解除するのは非常に危険」としています。
また、Pen Test Partnersによれば、すべてのAPIエンドポイントは、リクエストを行うためにメンバーコードのみで認証しており、このメンバーコードがユーザーがサービスに登録した日付に基づいて決定されていたとのこと。また、わずか6桁のフレンドコードを使ってリクエストを要求すると、ユーザーの名前、電話番号、誕生日、アプリ登録時の位置情報、メンバーコード、暗号化されていないユーザーのパスワードなどの情報が引き出せてしまったそうです。
Qiuiは2020年6月にアプリを更新してこの脆弱性を修正しましたが、アプリをアップデートしていないユーザーは依然として「永遠に貞操帯をつける危険性」に脅かされているといえます。Pen Test PartnersはQiuiに幾度となくメッセージを送ったものの、2020年6月からは一切応答がなく、連絡が途絶えてしまったそうです。2020年9月に偶然同じ脆弱性に気づいた別のセキュリティ研究者とも相談した結果、Pen Test Partnersはこの情報を公開するに至ったとのこと。
Pen Test Partnersは、「今回の事例は、多くの大人のおもちゃメーカーは、プライバシーとセキュリティをほぼ完全に無視していることを示しています」と述べ、現実的な脅威として個人情報漏えいのリスクが攻撃者に悪用される可能性が高いと警鐘を鳴らしています。
Tweet