Atualizações adicionadas ao final do artigo.
A plataforma de brinquedos sexuais conectada Lovense é vulnerável a uma falha de dia zero que permite que um invasor tenha acesso ao endereço de e-mail de um membro simplesmente sabendo seu nome de usuário, colocando-o em risco de doxxing e assédio.
Lovense é um fabricante de brinquedos sexuais interativos, mais conhecido por produzir brinquedos sexuais controlados por aplicativos com nomes como Lush, Gush e, talvez mais ousadamente, Kraken. A empresa afirma ter 20 milhões de clientes em todo o mundo.
Embora os brinquedos Lovense sejam comumente usados para entretenimento local e de longa distância, eles também são populares entre os modelos de câmeras que permitem que os espectadores dêem gorjetas ou assinem o controle remoto de seus brinquedos.
No entanto, a experiência conectada também pode expor seu nome de usuário Lovense e, devido a essa falha, potencialmente revelar seu endereço de e-mail privado.
Os nomes de usuário Lovense são frequentemente compartilhados publicamente em fóruns e mídias sociais, tornando-os alvos fáceis para os invasores.
A falha foi descoberta pelo pesquisador de segurança BobDaHacker, que colaborou com os pesquisadores Eva e Rebane para fazer engenharia reversa do aplicativo e automatizar o ataque.
Os pesquisadores divulgaram duas falhas há mais de quatro meses, em 26 de março de 2025. No entanto, apenas uma das falhas, uma falha crítica de sequestro de conta, foi corrigida posteriormente.
As falhas de Lovense
A vulnerabilidade decorre da interação entre o sistema de bate-papo XMPP da Lovense, usado para comunicação entre os usuários, e o back-end da plataforma.
“Então tudo começou quando eu estava usando o aplicativo Lovense e silenciei alguém. É isso. Apenas os silenciei”, explica Relatório de BobDaHacker.
“Mas então eu vi a resposta da API e fiquei tipo… espere, isso é um endereço de e-mail? Por que isso está lá? Depois de me aprofundar, descobri como transformar qualquer nome de usuário em seu endereço de e-mail.
Para explorar a falha, um invasor faz uma solicitação POST para o /api/wear/genGtoken Endpoint da API com suas credenciais, que retorna um gtoken (token de autenticação) e chaves de criptografia AES-CBC.
O invasor então pega qualquer nome de usuário Lovense conhecido publicamente e o criptografa usando as chaves de criptografia recuperadas. Essa carga criptografada é enviada para o /app/ajaxCheckEmailOrUserIdRegisted?email={encrypted_username} Ponto de extremidade da API.
O servidor responde com dados contendo um endereço de e-mail falso, que o pesquisador converteu em um ID Jabber falso (JID) usado pelo servidor XMPP de Lovense.
Ao adicionar esse JID falso à sua lista de contatos XMPP e enviar uma assinatura de presença por XMPP (semelhante a uma solicitação de amizade), o invasor pode atualizar a lista (lista de contatos), que agora inclui o JID falso e o real associado à conta do alvo.
No entanto, o problema é que o JID real é construído usando o e-mail real do usuário, no formato username!!!domain.com_w@im.lovense.com, permitindo que os invasores extraiam o endereço de e-mail da vítima.
Por exemplo, se ele retornou bleeping!!!example.com_w@im.lovense.com, o e-mail real resultante da conta Lovense é bleeping@example.com.
Os pesquisadores confirmaram que todo o processo pode ser concluído em menos de um segundo por usuário com um script. O BleepingComputer criou uma conta falsa hoje e compartilhou nosso nome de usuário com o BobDaHacker, permitindo que eles simplesmente se conectassem como amigos e retornassem o e-mail com o qual nos registramos.
O pesquisador também afirmou que não é necessário aceitar um pedido de amizade para explorar a falha.
O BleepingComputer também confirmou que é relativamente fácil encontrar nomes de usuário legítimos em fóruns e sites relacionados ao Lovense, como lovenselife.com.
O pesquisador também afirma que a extensão FanBerry, criada por Lovense, pode ser usada para coletar nomes de usuário, pois muitos dos modelos de câmeras usam o mesmo nome de usuário, possibilitando a coleta de e-mail em larga escala.
Os pesquisadores também descobriram uma vulnerabilidade crítica que lhes permitiu sequestrar completamente uma conta.
Usando apenas um endereço de e-mail, um invasor pode gerar tokens de autenticação sem precisar de uma senha. Usando esses tokens, um invasor pode se passar por um usuário em plataformas Lownse, incluindo Lovense Connect, StreamMaster e Cam101.
Esses tokens também funcionaram em contas de administrador.
Embora a Lovense tenha mitigado essa falha rejeitando os tokens em suas APIs, os pesquisadores observaram que os gtokens ainda podem ser gerados sem uma senha.
Ambos os problemas foram relatados a Lovense em 26 de março de 2025. Em abril, depois de também enviar os bugs no HackerOne, Lovense informou aos pesquisadores que o problema do e-mail já era conhecido e corrigido em uma versão futura.
A empresa inicialmente minimizou a conta hijacking falha, mas depois de ser informado de que poderia permitir acesso total à conta de administrador, Lovense reclassificou-o como crítico.
No total, os pesquisadores receberam US $ 3.000 pela divulgação das falhas.
Em 4 de junho, a empresa alegou que as falhas foram corrigidas, mas os pesquisadores confirmaram que não era esse o caso. Lovense finalmente corrigiu a falha de sequestro de conta em julho, mas afirmou que levaria aproximadamente 14 meses para resolver a falha de e-mail, pois quebraria a compatibilidade com versões mais antigas de seu aplicativo.
“Lançamos um plano de remediação de longo prazo que levará aproximadamente dez meses, com pelo menos mais quatro meses necessários para implementar totalmente uma solução completa”, disse Lovense ao pesquisador.
“Também avaliamos uma correção mais rápida de um mês. No entanto, isso exigiria forçar todos os usuários a atualizar imediatamente, o que interromperia o suporte para versões legadas. Decidimos contra essa abordagem em favor de uma solução mais estável e fácil de usar.”
Os pesquisadores criticaram essa resposta, afirmando que a empresa alegou repetidamente que os problemas foram corrigidos quando não foram.
“Seus usuários merecem melhor. Pare de colocar o suporte a aplicativos antigos sobre a segurança. Na verdade, conserte as coisas. E teste suas correções antes de dizer que funcionam”, escreveu BobDaHacker no relatório.
Por fim, Lovense diz que implantou um recurso de proxy em 3 de julho que foi sugerido pelos pesquisadores para mitigar o ataque. No entanto, mesmo depois de fazer uma atualização forçada do aplicativo, a falha não foi corrigida, então não está claro o que foi alterado.
Em 2016, múltiplas falhas de Lovense endereços de e-mail expostos ou permitiram que invasores determinassem se um endereço de e-mail tinha uma conta na Lovense.
Após a publicação desta história, BobDaHacker foi informado de que outros pesquisadores nomearam@Krissy e @SkeletalDemise descobriu o mesmo bug de aquisição de conta em 2023, que foi divulgado por meio do HackerOne.
No entanto, Lovense supostamente marcou a falha como corrigida quando não foi, alterando a gravidade de alta para média e pagando apenas uma recompensa de US$ 350 pela divulgação.
Os pesquisadores também encontraram outra API, /api/getUserNameByEmailV2, que permitia converter um nome de usuário em um endereço de e-mail ou vice-versa, sem precisar utilizar o XMPP.
Essa API teria sido corrigida e parou de funcionar após a divulgação, sem alertar o pesquisador.
Atualização 29/07/25 10h51 ET: Em uma declaração ao BleepingComputer, Lovense agradeceu ao BobDaHacker por divulgar as falhas e disse que uma correção está sendo lançada nas lojas de aplicativos.
“Temos o prazer de informar que a atualização que aborda as vulnerabilidades mais recentes, conforme referenciado pelo pesquisador em sua postagem no blog ontem à noite, já foi enviada às lojas de aplicativos antes da publicação da postagem”, disse Lovense ao BleepingComputer.
“Espera-se que a atualização completa seja enviada a todos os usuários na próxima semana. Depois que todos os usuários atualizarem para a nova versão e desativarmos as versões mais antigas, esse problema será completamente resolvido.”
No entanto, o porta-voz também afirmou que a falha que expunha os endereços de e-mail foi corrigida no final de junho. Esta declaração entra em conflito com a forma como o pesquisador demonstrou ao BleepingComputer ontem que eles poderiam recuperar nosso endereço de e-mail para nossa conta de teste simplesmente aceitando sua solicitação de amizade.
O BleepingComputer enviou perguntas de acompanhamento a Lovense sobre a falha ainda funcionar e atualizará nossa história com qualquer resposta.
Atualização 30/07/25: Embora Lovense não tenha respondido ao nosso e-mail ontem, o pesquisador agora confirmou que ambas as falhas foram totalmente corrigidas.
A técnica usada para expor um endereço de e-mail para um usuário não funciona mais nos testes do pesquisador e uma API usada anteriormente para criar tokens de autenticação foi tirada do ar.
Deve-se notar que a falha de tomada de conta já foi corrigida antes da descontinuação deste endpoint.
O BleepingComputer entrou em contato com Lovense para obter confirmação sobre as correções, mas não obteve resposta no momento.
Atualização 31/07/25: O CEO da Lownse, Dan Liu, compartilhou uma declaração com o BleepingComputer confirmando que todas as falhas já foram corrigidas, tranquilizando os usuários de que não há indicação de que foram exploradas ou usadas para roubar dados.
“Essas vulnerabilidades foram descobertas em condições controladas pelo pesquisador, que faz parte de uma plataforma de recompensas por bugs que ingressamos em 2018, e não por meio de atividades maliciosas”, disse Liu.
“Todas as vulnerabilidades identificadas foram totalmente abordadas.”
“Até hoje, não há evidências sugerindo que quaisquer dados do usuário, incluindo endereços de e-mail ou informações da conta, tenham sido comprometidos ou mal utilizado.”
No entanto, o CEO da Lovense contesta as alegações de que a falha do e-mail foi corrigida com uma correção “simples” de dois dias.
“O plano de reconstrução do sistema de 14 meses de longo prazo originalmente programado foi concluído significativamente antes do previsto devido aos esforços dedicados da equipe e ao aumento da alocação de recursos”, continuou Liu.
“Reduzir este projeto abrangente a um simples “corrigível em dois dias” não é apenas enganoso, mas também ignora o imenso trabalho realizado por nossa equipe.”
O BleepingComputer mais uma vez perguntou por que Lovense afirmou anteriormente que a falha do e-mail foi corrigida, quando foi demonstrado que não era, e atualizará a história se recebermos uma resposta.
