Il n'y a pas que les montres, bracelets ou l'électroménager qui se connecte à Internet aujourd'hui, le marché des sex-toys est concerné depuis quelque temps déjà, porté par la popularité de la pornographie en ligne et des sites d'échange par caméra.
Svakom est un fabricant de sextoys qui miseFaill sur cet aspect pour vendre ses articles, et plus particulièrement avec le vibromasseur Siime Eye qui propose des fonctionnalités étranges. Concrètement, le bout de ce sex toy est équipé d'une caméra HD et de LED permettant de partager son intimité en direct ou de réaliser des enregistrements.
Le dispositif est loin d'être bon marché, et pourtant il rencontre un vif succès... Ce qui le rend particulièrement intéressant pour les pirates qui ont déjà trouvé une faille importante dans l'appareil. Le sex-toy se connecte à un réseau via WiFi avec un mot de passe par défaut qui est 88888888. Pire encore, le dispositif s'identifie sur le réseau avec son nom "Siime Eye" qui n'est pas modifiable.
Mais il y aurait également un autre point d'accès au dispositif selon la société de sécurité PenTestPartners. Selon les fichiers sources de l'application qui contrôle l'appareil, on pourrait se connecter à ce dernier très simplement en passant par l'adresse IP de l'appareil qui est également toujours la même, avec un mot de passe admin peu évolué.
La démonstration a été faite, et les chercheurs ont pu prendre le contrôle distant de l'appareil, en activer la caméra et récupérer un flux d'image. Les failles se situent au niveau du point d'accès intégré au vibromasseur et malheureusement, il est impossible pour les utilisateurs de procéder eux même à la sécurisation de leur appareil.
Svakom a été alerté par PenTestPartners des vulnérabilités critiques de son appareil, mais la société est restée sans aucune réponse. De fait, la société de sécurité a décidé de dévoiler l'affaire afin de forcer le fabricant à réagir.