O que é um cinto de castidade conectado e como ele pode ser hackeado?
"Smart", a palavrinha que vem acompanhando todo tipo de gadgets nas últimas décadas pode ser traduzida como "inteligente", ou "esperto" —mas não só. O termo, se usado como verbo, também significa "sentir dor". Uma dor profunda, repentina.
Foi mais ou menos o que sentiram alguns dos usuários do Cellmate, um smart-cinto-de-castidade vulnerável a hackers.
Antes de mais nada, é importante explicar: o que é um cinto de castidade? Uma calcinha com cadeado, como na idade média? Não. Hoje, na verdade, o objeto é mais comumente usado por homens que curtem BDSM (o sexo fetichista antes comumente conhecido como "sadomasoquismo"). O uso é, geralmente, acompanhado de uma temática de humilhação. Entre os fãs da brincadeira estão, por exemplo, quem sente tesão em ser humilhado, como os cuckolds, que gostam de ver parceiras transando com terceiros.
Os cintos, em linhas gerais, restringem o acesso ao pênis de seu usuário. Geralmente parecendo uma jaula, o brinquedinho impede a penetração, a masturbação e, em alguns casos, até a ereção.
Uma gaiola para pintos ainda soa um pouco idade média demais para você? Pois é. Por isso mesmo, a ideia de criar um gadget que cumpra as mesmas funções não era exatamente ruim. E é nesse nicho de mercado que a Qiui, empresa responsável pelo Cellmate, ganhou clientes. O problema é que a chave dessa gaiola agora pode estar na mão de hackers.
Na teoria, o produto funcionaria da seguinte forma: o Cellmate se encaixa em torno do pênis e dos testículos de quem o usa, Depois se conecta, via bluetooth, com um celular que tem o aplicativo da marca instalado. É por esse app, e só por esse app, que o brinquedinho destranca os genitais confinados, como mostra o GIF abaixo. Quer dizer, isso é a teoria.
Na prática, pesquisadores da firma de segurança Pen Test Partners descobriram que falhas no sistema permitem que hackers tranquem, remotamente, o pênis de suas vítimas. Nem o próprio app consegue destravá-lo. Os usuários ficam com o Cellmate prendendo seus genitais até que os invasores mudem de ideia. Se é que vão mudar.
A raiz do problema está em uma parte muito específica do sistema: o API (sigla em inglês para Interface de Programação de Aplicações), um conjunto de ferramentas que ajuda no envio de informações entre plataformas.
Uma associação fácil é relacionar a ideia com um garçom: você sinaliza a ele que quer um hambúrguer (ou encarcerar o pênis de um parceiro), ele vai até a cozinha, avisa o chef, e mais tarde volta com o sanduíche (ou ativação da trava peniana).
Mas, assim como um geralmente garçom precisa de crachá para entrar no restaurante, um API costuma ter senhas que protegem o sistema. O Cellmate não tinha.
Na prática qualquer pessoa que dominasse um pouco de programação, seria capaz de invadir a base de dados e fazer ordens. Se no cenário gastronômico é alguém enviando pedidos errados da cozinha; no mundo do Cellmate equivalia a prender o pênis de usuários - ou se recusar à liberá-los quando esses pedissem.
A proteção de APIs é algo básico hoje no mundo da segurança. Praticamente todo dispositivo que a Alexa consegue controlar, tem uma. É impensável que um sextoy não garantisse esse tipo de proteção, mas, ainda assim, a Qiui não a fez. "Minha opinião pessoa é de que a maioria dos objetos íntimos tinha que possuir padrões mais rígidos do que, talvez, lâmpadas.", Afirmou ao site The Verve Alex Lomas, pesquisador de segurança da Pen Test.
A história piora. O sex toy não tem nenhuma alavanca ou chave manual. A única forma de retirá-lo depois de uma trava é utilizando a força bruta. O problema é que o brinquedinho é feito de aço reforçado. Uma das maneiras é, por exemplo, usar um cortador de parafusos para abrir uma das travas —mas ela fica bem próxima aos testículos.
Não só isso. Os pesquisadores ainda descobriram que o sistema deixava escapar dados cruciais sobre os usuários, como identificações, conversas privadas que ocorriam dentro do app, e até sua localização. Aliás, segundo o estudo, há quem use o Cellmate aqui no Brasil.
A Qiui teve chances de arrumar tudo antes da história vir a público. Os pesquisadores da Pen Test entraram em contato com os fabricantes em abril. Promessas de um conserto até apareceram, mas em julho a empresa chegou a afirmar que não arrumaria as falhas porque tinha "apenas" US$ 50 mil em caixa. No mês seguinte, prometeram que consertariam tudo até agosto. Como não rolou, os pesquisadores deixaram seu estudo público, a fim de pressionar os fabricantes.
O problema, vale dizer, já foi solucionado em partes. Uma atualização corrigiu as falhas de segurança, mas quem ainda usa a versão antiga segue vulnerável. E a Qiui ainda não ofereceu uma solução para isso.
Em entrevista ao site TechCrunch Jake Guo, chefe executivo da Qiui, tentou justificar os atrasos. "Nós somos uma equipe que caberia em um porão", afirmou.
"Quando consertamos algo, isso gera mais problemas", completou.
Smart, mas só em um dos sentidos.
ID: {{comments.info.id}}
URL: {{comments.info.url}}
Ocorreu um erro ao carregar os comentários.
Por favor, tente novamente mais tarde.
{{comments.total}} Comentário
{{comments.total}} Comentários
Seja o primeiro a comentar
Essa discussão está encerrada
Não é possivel enviar novos comentários.
Essa área é exclusiva para você, assinante, ler e comentar.
Só assinantes do UOL podem comentar
Ainda não é assinante? Assine já.
Se você já é assinante do UOL, faça seu login.
O autor da mensagem, e não o UOL, é o responsável pelo comentário. Reserve um tempo para ler as Regras de Uso para comentários.