Redazione RHC : 29 Luglio 2025 15:04
La piattaforma Lovense che si è da tempo ritagliata una nicchia di mercato grazie ai sex toy controllati tramite app (tra cui modelle come Lush, Gush e Kraken), è affetta da un bug di sicurezza che consente di ottenere l’indirizzo email di chiunque utilizzando il nickname pubblico. La falla riguarda sia gli utenti abituali che le modelle che usano Lovense in streaming e show. Poiché i nickname sulla piattaforma sono spesso pubblici su forum o social media, gli aggressori possono facilmente abbinare i dati di accesso a indirizzi email reali, creando il rischio di doxxing e stalking.
La vulnerabilità è stata scoperta da un ricercatore con lo pseudonimo di BobDaHacker che, insieme ai colleghi Eva e Rebane, ha eseguito il reverse engineering dell’applicazione e automatizzato il processo di attacco. Durante l’analisi, è emerso che il bug era nascosto nell’interazione tra la parte server di Lovense e la chat XMPP, attraverso la quale vengono scambiati messaggi tra gli utenti.
Secondo il ricercatore, la vulnerabilità è stata scoperta per caso, mentre cercava di bloccare le notifiche di un altro utente tramite l’interfaccia di Lovense. Dopo aver premuto il pulsante “Mute”, ha studiato la risposta dell’API ed è rimasto sorpreso nel trovarvi l’indirizzo email di qualcun altro. Ciò ha sollevato sospetti e ulteriori analisi hanno dimostrato che, utilizzando un determinato algoritmo e formulando una richiesta corretta, è possibile ottenere l’indirizzo di qualsiasi partecipante alla piattaforma utilizzando il suo nickname pubblico. Inoltre, tale raccolta di dati può essere facilmente automatizzata, richiedendo informazioni in massa e ad alta velocità.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
L’attacco funziona come segue: innanzitutto, l’attaccante invia una richiesta POST all’endpoint /api/wear/genGtoken utilizzando le proprie credenziali. In risposta, il server emette un token di autenticazione (gtoken) e le chiavi per la crittografia simmetrica (AES-CBC). Quindi, qualsiasi login noto viene crittografato con le chiavi ricevute, dopodiché viene inviato a /app/ajaxCheckEmailOrUserIdRegisted?email={encrypted_username}.
In risposta alla richiesta, il server restituisce un indirizzo email falso, in base al quale viene creato un Jabber ID (JID) artificiale. Questo identificativo viene aggiunto all’elenco dei contatti della chat XMPP e, dopo l’invio di una richiesta standard per aggiungere un amico (tramite il protocollo XMPP), l’elenco degli utenti viene aggiornato. Di conseguenza, nell’elenco compare non solo un falso, ma anche un JID reale, creato secondo un modello, in cui il vero indirizzo email della vittima viene sostituito con il login e il dominio: ad esempio, una riga come questa [email protected]indica email [email protected].
Raccogliere i dati di accesso, come sottolineano gli analisti, non è difficile: vengono pubblicati su siti come lovenselife.com e nei profili dei modelli. Inoltre, l’estensione proprietaria FanBerry, rilasciata da Lovense, può essere utilizzata per raccogliere automaticamente i dati di accesso, soprattutto considerando che molti streamer utilizzano gli stessi nickname su piattaforme diverse.
Ma non è l’unico problema: i ricercatori hanno anche scoperto una vulnerabilità critica che consente il controllo completo dell’account. Per sfruttarla, è sufficiente conoscere l’indirizzo email. Grazie a questo, è possibile generare un gtoken valido , senza dover inserire una password, e accedere a qualsiasi parte dell’ecosistema Lovense, comprese le app Lovense Connect, StreamMaster e Cam101. Inoltre, secondo i ricercatori, la vulnerabilità ha interessato anche gli account amministratore.
Lovense ha poi risolto parzialmente questa falla: ora i token vengono rifiutati a livello API, ma i gtoken stessi possono ancora essere creati senza inserire una password. Entrambi i bug sono stati inizialmente documentati e inviati all’azienda il 26 marzo 2025, e anche tramite HackerOne. Ad aprile, Lovense ha segnalato che il problema relativo all’email era già noto e sarebbe stato risolto in una versione futura dell’applicazione. In totale, il team di ricerca ha ricevuto 3.000 dollari per i bug scoperti.
Al 4 giugno, Lovense ha riferito che entrambi i problemi erano stati completamente risolti, ma i ricercatori hanno smentito questa affermazione, confermando che il bug relativo alla divulgazione delle email persiste. Solo il bug relativo a gtoken è stato completamente risolto a luglio. Per quanto riguarda il secondo bug, Lovense ha affermato che ci vorranno circa 14 mesi per risolverlo, poiché la modifica interromperà la compatibilità con le versioni precedenti del client.
Secondo Lovense, il 3 luglio l’azienda ha implementato una funzionalità proxy proposta dai ricercatori per mitigare l’attacco. Tuttavia, anche dopo l’aggiornamento forzato, il bug relativo alle email è rimasto, e non è chiaro cosa sia stato modificato esattamente. Ricordiamo che già nel 2016 l’azienda aveva riscontrato vulnerabilità che consentivano di determinare la presenza di un account tramite email o di estrapolarlo direttamente dalle richieste.
RedazioneNella giornata di oggi, migliaia di utenti Fastweb in tutta Italia hanno segnalato problemi di connessione alla rete fissa, con interruzioni improvvise del servizio Internet e difficoltà a navigare o...
Mattinata difficile per i clienti Fastweb: dalle 9:30 circa, il numero di segnalazioni di malfunzionamento è schizzato alle stelle. Secondo i dati di Downdetector, le interruzioni hanno superato le 3...
Dopo il successo dello scorso anno, Scientifica lancia la nuova edizione di GlitchZone, la competition dedicata alle start-up che sviluppano soluzioni innovative per la cybersecurity. L’iniziativa �...
Il ricercatore di sicurezza Alessandro Sgreccia, membro del team HackerHood di Red Hot Cyber, ha segnalato a Zyxel due nuove vulnerabilità che interessano diversi dispositivi della famiglia ZLD (ATP ...
La Cybersecurity and Infrastructure Security Agency (CISA) e il Multi-State Information Sharing & Analysis Center (MS-ISAC) pubblicano questo avviso congiunto sulla sicurezza informatica (CSA) in ...
