根據科技媒體TechCrunch報導,資安研究人員BobDaHacker指出,早在2023年9月就已有其他資安研究人員通報Lovense開發的APP存在資安問題,而Lovense當時雖宣稱已處理,但其實並未修補完成。BobDaHacker今(2025)年3月在使用Lovense APP時又發現2項重大漏洞,向漏洞回報平台「HackerOne」通報後還因此獲得3000美元(約9萬元新台幣)的漏洞回報獎勵。
用戶電子郵件外流
BobDaHacker發現,當在Lovense APP中將某人「靜音」時,APP的API回應(APP透過API向另一個APP發出請求後,對方返回的結果或資料)竟會顯示該用戶的電子郵件地址。BobDaHacker進一步測試,向Lovense伺服器發送經過修改的請求,就能騙過系統,查詢目標用戶的電子郵件地址。
BobDaHacker指出,只要透過網路分析工具擷取資料流量,就算用戶雙方並非好友關係,也能得知與其互動帳號的真實電子郵件地址。BobDaHacker更開發一段可以在1秒內將任意用戶名稱轉換為對應電子郵件地址的程式碼,發現同樣可以應用在該漏洞上。
為了驗證這項漏洞,TechCrunch特別建立了一個Lovense帳號,結果BobDaHacker花不到1分鐘的時間就找出該帳號對應的真實電子郵件地址,證實漏洞可被自動化工具快速利用。
憑電子郵件就能接管帳號、遠端操控情趣用品
另外,BobDaHacker還發現,只要掌握用戶電子郵件與由Lovense系統發出的驗證權杖(authentication token),就能完全接管用戶帳號,進而遠端操控情趣用品,甚至不需密碼或雙重認證。BobDaHacker示警,這顯然會對使用遠端操控情趣用品的用戶帶來實際傷害。
帳號接管漏洞修好都是假?資安人員打臉:一直拖延修復
BobDaHacker表示,雖然他在今年3月就已通報上述漏洞,但Lovense遲遲沒有採取修復行動。對於電子郵件外流問題,Lovense當時表示需要14 個月才能完成修復,並曾考慮1個月內推出的快速修補方案,但該方案會導致所有用戶需立即升級、舊版本無法使用,結果修補方案最後還是不了了之。
根據一般資安業界標準,接獲漏洞通報後,廠商通常有90天的修復時間,而BobDaHacker在漏洞通報滿90天後,即2025年7月28日正式公開上述2項高風險漏洞細節,狠批Lovense的拖延令人無法接受。
對此,Lovense僅表示,已向APP商店提交更新版本,修補電子郵件外流與驗證權杖安全問題,預計下週內推送給所有用戶,屆時將全面停用舊版本。至於為何先前表示需要14個月才能修復完成,Lovense則未作出任何說明。