Falha no app da Lovense revela emails e empresa distribui correção
Uma vulnerabilidade no aplicativo que controla os brinquedos sexuais da Lovense expôs endereços de email e abriu portas para acesso não autorizado aos perfis dos utilizadores. O problema foi descoberto pelo investigador de segurança BobDaHacker, que apresentou provas do ataque ao site especializado BleepingComputer.
Vulnerabilidade permite obtenção imediata de emails
O investigador detectou que uma simples solicitação POST à API /api/wear/genGtoken devolvia um token de autenticação associado a qualquer nome de utilizador conhecido. Com esse token, era possível gerar um email fictício usado internamente pela Lovense. Bastava converter esse endereço num identificador de chat (JID) e adicioná-lo à lista de contactos. Após a atualização da lista, o servidor enviava o email real do utilizador visado.
De posse do endereço legítimo, um atacante conseguia assumir contas nos serviços da Lovense — como StreamMaster, Lovense Connect e Cam101 — e, a partir daí, aceder a plataformas externas ligadas a esses perfis, incluindo OnlyFans, Chaturbate e Fansly. O processo completo demorava apenas alguns segundos, criando risco de doxxing e assédio.
Relato, correção parcial e nova atualização
BobDaHacker comunicou as falhas à Lovense em 26 de março. A empresa informou ter aplicado correções a 4 de junho, mas novos testes mostraram que a vulnerabilidade continuava ativa. Face às críticas, a Lovense enviou esta semana uma nova versão dos seus aplicativos às lojas digitais.
Em nota, a marca afirma que a atualização ficará disponível para todos os utilizadores «na próxima semana» e que as versões antigas serão desativadas assim que a distribuição estiver concluída. A empresa acredita que essa medida «eliminará completamente» o problema.
Orientações para os utilizadores
Até à receção da atualização, especialistas recomendam:
- Manter as aplicações Lovense desligadas de contas externas sempre que possível;
- Verificar se há versões mais recentes nas lojas Android e iOS;
- Alterar senhas e ativar autenticação multifator em serviços associados.
A Lovense não divulgou números de utilizadores afetados nem indicou indícios de exploração ativa, mas incentiva todos os clientes a instalarem a nova versão assim que surgir nas respetivas lojas.
Imagem: tecmundo.com.br
