Lovense 앱이 사용자 이메일 유출과 비밀번호 없이 계정 장악을 허용하는 보안 취약점으로 논란에 휩싸였습니다. 연구자는 앱의 이메일 변환 결함과 인증 토큰을 통한 계정 장악 문제를 지적했습니다. 이 버그는 캠 모델 등에게 특히 위험하며, 시정이 미흡하다는 비판이 이어지고 있습니다.
섹스토이 회사인 Lovense가 자사 앱 사용자들의 이메일 주소를 유출하고, 비밀번호 없이 계정 장악을 허용하고 있다는 보안 연구자의 주장이 나왔습니다. TechCrunch에 따르면, 윤리적 해커로서 보안 취약점을 폭로하고 보고하는 데 전념하는 BobDaHacker는 Lovense가 2023년에 처음 인지하게 된 심각한 버그를 수정하지 못했다고 비판하는 상세 보고서를 발표했습니다.
해커의 주장에 따르면 (이후 TechCrunch에 의해 검증됨), Lovense는 특정 기술을 통해 어떠한 사용자 이름이라도 그들의 이메일 주소로 변환할 수 있는 결함을 가지고 있습니다. 이는 앱에서 누군가를 음소거한 후 발견한 문제입니다. Lovense의 API에 접근함으로써, 자동화된 스크립트를 통해 수정된 요청 프로세스를 실행할 때 단 1초 이내에 공개된 사용자 이름과 연관된 이메일을 얻을 수 있었습니다. 연구원은 이러한 계정의 취약성이 Lovense 플랫폼을 업무에 사용하는 캠 모델들에게 특히 위험하다고 지적하며, 이들은 이러한 목적으로 사용자 이름을 공유할 수 있습니다.
연구원은 또, 특정 사용자의 이메일 주소를 알거나 앞서 언급된 버그를 통해 얻은 이메일로, 그 계정을 비밀번호 없이 장악할 수 있는 인증 토큰을 생성할 수 있다고 밝혔습니다. 이러한 방식은 Lovense Chrome Extension, Lovense Connect 앱, 그리고 회사의 Cam101 및 StreamMaster 소프트웨어뿐만 아니라 관리자 계정에서도 작동하는 것으로 알려졌습니다.
BobDaHacker는 이 버그를 2025년 3월 성기술 해킹 프로젝트 The Internet Of Dongs의 도움을 받아 Lovense에 처음 보고했으며, HackerOne 보안 플랫폼을 통해 문제를 제기한 대가로 총 3,000달러를 받았다고 밝혔습니다. 이후 Lovense 대표들과 몇 차례 소통한 끝에 6월 초에 계정 장악 버그가 지난 달에 수정되었다는 답변을 받았으나, 연구원은 이 주장이 사실이 아니라고 주장했습니다. 이메일 유출 결함과 관련하여, Lovense는 BobDaHacker가 인용한 성명에서 문제 해결에 최대 14개월이 걸릴 수 있으며, 1개월 내 해결하려면 모든 사용자가 즉시 업데이트를 강제해야 해 구버전 지원에 지장을 줄 것이라고 밝혔습니다.
연구원은 자신이 2023년으로 거슬러 올라가는 계정 장악 버그를 발견했다고 주장하는 트위터 사용자로부터 연락을 받았고, Lovense에 이를 보고한 지 얼마 지나지 않아 버그가 수정되었다는 답변을 받았지만 실제로는 그렇지 않았다고 전했습니다. 연구원은 사용자 이름을 이메일 주소로 변환하는 HTTP 엔드포인트를 사용하는 방식을 패치한 업데이트가 2025년 초에나 시행되었다고 덧붙였습니다. BobDaHacker는 Lovense에 의견을 요청했으나 작성 시점까지 답변을 받지 못했다고 밝혔습니다.
이러한 사생활 침해 문제는 Lovense 사용자에게 처음 있는 일이 아닙니다. 2017년, 한 Reddit 사용자가 사용자가 섹스토이를 원격으로 조종할 수 있는 Lovense 앱이 사용자 동의 없이 음성을 녹음하고 전화기에 저장하고 있다는 사실을 발견했습니다. Reddit 게시물에서 Lovense 대표임을 주장한 댓글 작성자는 당시 이를 “안드로이드 버전 앱에 영향을 미친 소소한 소프트웨어 버그”로 언급하며 업데이트로 수정했다고 밝혔습니다.
※출처: Engadget
