Lovense 情趣玩具曝严重安全漏洞 用户邮箱及账户易被攻破 甚至能远程操控帐户

Lovense 情趣玩具曝严重安全漏洞 用户邮箱及账户易被攻破 甚至能远程操控帐户

安全研究员 BobDaHacker 披露，知名智能性玩具制造商 Lovense 存在两项重大安全漏洞，这两个漏洞会暴露用户的私人电子邮件地址，并允许任何用户的帐户被接管。攻击者可借助网络分析工具，在与他人互动时获取对方邮箱，并利用漏洞仅凭邮箱生成认证令牌，绕过密码远程控制账户，影响范围覆盖所有 Lovense 账号及设备。BobDaHacker 指出，第二个漏洞允许他们仅凭用户的电子邮件地址（该地址可通过先前的漏洞推导获取）接管任意 Lovense 用户账户。此漏洞使任何人无需密码即可生成访问 Lovense 账户的身份验证令牌，攻击者能借此远程操控账户，如同真实用户本人操作一般。

Lovense 于 2025 年 3 月获悉漏洞，但表示需 14 个月修复以兼容老产品。研究员称部分问题自 2023 年已被发现但未有效修复。此次披露引发对联网性玩具数据安全的广泛关注，尤其对公开用户名的从业者风险显著增加。

附件内容