La piattaforma Lovense che si è da tempo ritagliata una nicchia di mercato grazie ai sex toy controllati tramite app (tra cui modelle come Lush, Gush e Kraken), è affetta da un bug di sicurezza che consente di ottenere l’indirizzo email di chiunque utilizzando il nickname pubblico. La falla riguarda sia gli utenti abituali che le modelle che usano Lovense in streaming e show. Poiché i nickname sulla piattaforma sono spesso pubblici su forum o social media, gli aggressori possono facilmente abbinare i dati di accesso a indirizzi email reali, creando il rischio di doxxing e stalking.

La vulnerabilità è stata scoperta da un ricercatore con lo pseudonimo di BobDaHacker che, insieme ai colleghi Eva e Rebane, ha eseguito il reverse engineering dell’applicazione e automatizzato il processo di attacco. Durante l’analisi, è emerso che il bug era nascosto nell’interazione tra la parte server di Lovense e la chat XMPP, attraverso la quale vengono scambiati messaggi tra gli utenti.

Secondo il ricercatore, la vulnerabilità è stata scoperta per caso, mentre cercava di bloccare le notifiche di un altro utente tramite l’interfaccia di Lovense. Dopo aver premuto il pulsante “Mute”, ha studiato la risposta dell’API ed è rimasto sorpreso nel trovarvi l’indirizzo email di qualcun altro. Ciò ha sollevato sospetti e ulteriori analisi hanno dimostrato che, utilizzando un determinato algoritmo e formulando una richiesta corretta, è possibile ottenere l’indirizzo di qualsiasi partecipante alla piattaforma utilizzando il suo nickname pubblico. Inoltre, tale raccolta di dati può essere facilmente automatizzata, richiedendo informazioni in massa e ad alta velocità.

L’attacco funziona come segue: innanzitutto, l’attaccante invia una richiesta POST all’endpoint /api/wear/genGtoken utilizzando le proprie credenziali. In risposta, il server emette un token di autenticazione (gtoken) e le chiavi per la crittografia simmetrica (AES-CBC). Quindi, qualsiasi login noto viene crittografato con le chiavi ricevute, dopodiché viene inviato a /app/ajaxCheckEmailOrUserIdRegisted?email={encrypted_username}.

In risposta alla richiesta, il server restituisce un indirizzo email falso, in base al quale viene creato un Jabber ID (JID) artificiale. Questo identificativo viene aggiunto all’elenco dei contatti della chat XMPP e, dopo l’invio di una richiesta standard per aggiungere un amico (tramite il protocollo XMPP), l’elenco degli utenti viene aggiornato. Di conseguenza, nell’elenco compare non solo un falso, ma anche un JID reale, creato secondo un modello, in cui il vero indirizzo email della vittima viene sostituito con il login e il dominio: ad esempio, una riga come questa bleeping!!!example.com_w@im.lovense.comindica email bleeping@example.com.

Raccogliere i dati di accesso, come sottolineano gli analisti, non è difficile: vengono pubblicati su siti come lovenselife.com e nei profili dei modelli. Inoltre, l’estensione proprietaria FanBerry, rilasciata da Lovense, può essere utilizzata per raccogliere automaticamente i dati di accesso, soprattutto considerando che molti streamer utilizzano gli stessi nickname su piattaforme diverse.

Ma non è l’unico problema: i ricercatori hanno anche scoperto una vulnerabilità critica che consente il controllo completo dell’account. Per sfruttarla, è sufficiente conoscere l’indirizzo email. Grazie a questo, è possibile generare un gtoken valido , senza dover inserire una password, e accedere a qualsiasi parte dell’ecosistema Lovense, comprese le app Lovense Connect, StreamMaster e Cam101. Inoltre, secondo i ricercatori, la vulnerabilità ha interessato anche gli account amministratore.

Lovense ha poi risolto parzialmente questa falla: ora i token vengono rifiutati a livello API, ma i gtoken stessi possono ancora essere creati senza inserire una password. Entrambi i bug sono stati inizialmente documentati e inviati all’azienda il 26 marzo 2025, e anche tramite HackerOne. Ad aprile, Lovense ha segnalato che il problema relativo all’email era già noto e sarebbe stato risolto in una versione futura dell’applicazione. In totale, il team di ricerca ha ricevuto 3.000 dollari per i bug scoperti.

Al 4 giugno, Lovense ha riferito che entrambi i problemi erano stati completamente risolti, ma i ricercatori hanno smentito questa affermazione, confermando che il bug relativo alla divulgazione delle email persiste. Solo il bug relativo a gtoken è stato completamente risolto a luglio. Per quanto riguarda il secondo bug, Lovense ha affermato che ci vorranno circa 14 mesi per risolverlo, poiché la modifica interromperà la compatibilità con le versioni precedenti del client.

Secondo Lovense, il 3 luglio l’azienda ha implementato una funzionalità proxy proposta dai ricercatori per mitigare l’attacco. Tuttavia, anche dopo l’aggiornamento forzato, il bug relativo alle email è rimasto, e non è chiaro cosa sia stato modificato esattamente. Ricordiamo che già nel 2016 l’azienda aveva riscontrato vulnerabilità che consentivano di determinare la presenza di un account tramite email o di estrapolarlo direttamente dalle richieste.

L'articolo Ti “vibra” l’E-mail! Una falla “hot” su Lovense espone le email degli utenti proviene da il blog della sicurezza informatica.