Lovenseのセックストイアプリの脆弱性によりユーザーのプライベートなメールアドレスが漏洩

接続型セックストイプラットフォームLovenseにはゼロデイ脆弱性が存在し、攻撃者がユーザー名を知っているだけでメンバーのメールアドレスにアクセスできるため、ドキシングや嫌がらせのリスクにさらされています。

Lovenseはインタラクティブなセックストイメーカーで、Lush、Gush、そして最も大胆なKrakenなど、アプリで操作できるセックストイで知られています。同社は全世界で2,000万人の顧客がいると主張しています。

Lovenseのトイは、ローカルおよび遠隔地でのエンターテインメントの両方に広く利用されていますが、視聴者がチップやサブスクリプションでトイの遠隔操作を許可するカムモデルの間でも人気があります。

しかし、この接続体験によってLovenseのユーザー名が公開されることがあり、この脆弱性によりプライベートなメールアドレスが漏洩する可能性があります。

Lovenseのユーザー名はフォーラムやSNSで公開されることが多く、攻撃者にとって簡単な標的となります。

この脆弱性はセキュリティ研究者のBobDaHackerによって発見され、研究者のEvaとRebaneと協力してアプリのリバースエンジニアリングと攻撃の自動化が行われました。

研究者たちは4ヶ月以上前の2025年3月26日に2つの脆弱性を報告しました。しかし、そのうち1つ、重大なアカウント乗っ取りの脆弱性のみが修正されました。

Lovenseの脆弱性

この脆弱性は、ユーザー間のコミュニケーションに使われるLovenseのXMPPチャットシステムとプラットフォームのバックエンドとの相互作用に起因しています。

「すべては私がLovenseアプリを使っていて、誰かをミュートしたときに始まりました。それだけです。ただミュートしただけです」とBobDaHackerのレポートは説明しています。

「でも、そのときAPIのレスポンスを見て……え、これメールアドレス？なんでここに？さらに調べてみると、どんなユーザー名でもメールアドレスに変換できる方法を突き止めました。」

この脆弱性を悪用するには、攻撃者が自分の認証情報で/api/wear/genGtoken APIエンドポイントにPOSTリクエストを送り、gtoken（認証トークン）とAES-CBC暗号化キーを取得します。

次に攻撃者は、公開されている任意のLovenseユーザー名を取得し、取得した暗号化キーで暗号化します。この暗号化されたペイロードを/app/ajaxCheckEmailOrUserIdRegisted?email={encrypted_username} APIエンドポイントに送信します。

サーバーは偽のメールアドレスを含むデータで応答し、研究者はこれをLovenseのXMPPサーバーで使われる偽のJabber ID（JID）に変換しました。

この偽のJIDをXMPPの連絡先リストに追加し、XMPP上でプレゼンスサブスクリプション（友達リクエストのようなもの）を送信することで、攻撃者は連絡先リストを更新でき、そこには偽のJIDとターゲットのアカウントに関連付けられた本物のJIDの両方が含まれるようになります。

しかし問題は、本物のJIDがユーザーの実際のメールアドレスを使って構成されており、形式はusername!!!domain.com_w@im.lovense.comとなっているため、攻撃者が被害者のメールアドレスを抽出できることです。

例えば、bleeping!!!example.com_w@im.lovense.comが返された場合、Lovenseアカウントの実際のメールアドレスはbleeping@example.comとなります。

研究者たちは、スクリプトを使えばこの一連のプロセスが1ユーザーあたり1秒未満で完了できることを確認しました。BleepingComputerは本日偽のアカウントを作成し、ユーザー名をBobDaHackerに共有したところ、簡単にフレンドとして接続し、登録したメールアドレスを返すことができました。

また、研究者はこの脆弱性を悪用するのにフレンドリクエストを承認する必要はないとも述べています。

BleepingComputerも、フォーラムやlovenselife.comのようなLovense関連サイトで正規のユーザー名を見つけるのは比較的簡単であることを確認しました。

研究者はまた、Lovenseが作成したFanBerry拡張機能やTophyアプリを使ってユーザー名を収集でき、大規模なメールアドレス収集が可能になると主張しています。

研究者たちはさらに、アカウントを完全に乗っ取ることができる重大な脆弱性も発見しました。

メールアドレスだけで、攻撃者はパスワードなしで認証トークンを生成できました。これらのトークンを使って、攻撃者はLovense Connect、StreamMaster、Cam101を含むLovenseプラットフォーム上でユーザーになりすますことができました。

これらのトークンは管理者アカウントでも有効だったと報告されています。

Lovenseはこの脆弱性をAPIでトークンを拒否することで緩和しましたが、研究者はgtokenが依然としてパスワードなしで生成できることを指摘しています。

両方の問題は2025年3月26日にLovenseに報告されました。4月にはHackerOneにもバグを提出した後、Lovenseはメールの問題は既知であり、今後のバージョンで修正予定であると研究者に通知しました。

当初、同社はアカウント乗っ取りの脆弱性を軽視しましたが、完全な管理者アカウントアクセスが可能になると伝えられた後、重大な問題として再分類しました。

研究者たちは脆弱性の報告に対して合計3,000ドルを受け取りました。

6月4日、同社は脆弱性が修正されたと主張しましたが、研究者はこれが事実ではないことを確認しました。最終的にLovenseは7月にアカウント乗っ取りの脆弱性を修正しましたが、メールアドレスの脆弱性については、古いバージョンのアプリとの互換性が損なわれるため、解決には約14ヶ月かかると述べました。

「私たちは約10ヶ月かかる長期的な対策計画を開始しており、完全な解決策を実装するにはさらに少なくとも4ヶ月が必要です」とLovenseは研究者に伝えました。

「より早い1ヶ月での修正も検討しましたが、全ユーザーに即時アップグレードを強制する必要があり、レガシーバージョンのサポートが中断されます。より安定し、ユーザーフレンドリーな解決策を優先することにしました。」

研究者たちはこの対応を批判し、同社が繰り返し「修正済み」と主張しながら実際には修正されていなかったと述べています。

「ユーザーはもっと良い対応を受けるべきです。古いアプリのサポートをセキュリティより優先しないでください。本当に修正してください。そして、修正が本当に機能するかテストしてから発表してください」とBobDaHackerはレポートに書いています。

2016年にも、複数のLovenseの脆弱性によってメールアドレスが漏洩したり、メールアドレスがLovenseのアカウントかどうかを攻撃者が判別できたりしました。

BleepingComputerはLovenseにコメントを求めましたが、回答は得られませんでした。