Британская охранная фирма Pen Test Partners заявила, что обнаружила дефект в «мужском поясе верности» — секс-игрушке Qiui Cellmate. С помощью этого устройства доверенный человек может удалённо запереть и разблокировать пенис партнёра через Bluetooth с помощью мобильного приложения. Это приложение связывается с замком с помощью API. Но API был оставлен открытым и без пароля, позволяя любому человеку получить полный контроль над устройством любого пользователя.
Игрушка блокирует пенис пользователя массивным металлическим кольцом. Освободиться от него можно, отдав соответствующую команду в приложении на телефоне, и никакого запасного способа сделать это не предусмотрено. Если кто-то перехватит доступ, снять с себя устройство можно только применив грубую силу — например, разрезав его болторезом.
Проблема Qiui Cellmate не только в том, что её сложно снять самостоятельно. С помощью уязвимого API взломщики могут получить доступ к геолокации устройства и другой личной информации клиента, такой как его имя, номер телефона, дата рождения, пароль от приложения и даже точные координаты того места, где приложение в последний раз открывали.
Издание TechCrunch впервые узнало об этой уязвимости в июне и связалось с производителем Qiui, базирующимся в Китае. Разработчик исправил проблему для новых пользователей, но уже проданные девайсы остались с незащищённым API.
Главный исполнительный директор Qiui Джейк Гуо (Jake Guo) обещал TechCrunch, что патч появится в августе, но этого так и не случилось. В последующем электронном письме Гуо сказал: «Когда мы это исправляем, это только создаёт больше проблем».
Несколько пользователей уже жаловались на то, что в приложении происходили ошибки, из-за которых устройство не отпиралось. Неизвестно, было ли это связано с тем, что кто-то воспользовался уязвимостью, и попали ли в чьи-то чужие руки незащищенные данные клиентов.