VR, porno et faille de sécurité : la combinaison sulfureuse de SinVR

AuthentificationPolitique de sécuritéSécurité
sinvr-faille-securite

Une faille dans l’app SinVR (porno + réalité virtuelle) compromettait la sécurité de ses utilisateurs, selon Digital Interruption.

Quand le porno lié à la réalité virtuelle se transforme en risque de sécurité IT…Une alerte est surgie à propos de l’app SinVR. Exploitée par la société californienne InVR, elle recense une base de 20 000 membres.

Digital Interruption, du nom d’une société britannique de sécurité IT (développement d’outils, formation et audit) a dévoilé une faille associée à l’authentification sur l’app réservée aux adultes. Elle pourrait être exploitée par des pirates.

SinVR permet d’explorer différents scénarios sexuels et d’interagir avec différents personnages du monde virtuel. L’app fonctionne avec la plupart des principaux casques VR, comme les modèles HTC Vive et Oculus Rift.

En raison de la nature de l’application, il est potentiellement très embarrassant d’avoir des détails exposés comme ici”, précise Digital Interruption dans son billet de blog dédié.

La société de sécurité IT, qui donne l’alerte, pointe du doigt les risques de chantages associés à la collecte par des pirates des données d’accès des utilisateurs à l’app SinVR.

Digital Interruption évoque une «porte dérobée» cachée dans le code qui permettait d’accéder aux noms d’utilisateurs et aux adresses mail des membres de l’app sulfureuse.

Grâce à des techniques de reverse engineering (remontée vers le code source), l’équipe de sécurité IT a trouvé une fonction bien nommée «downloadallcustomers» sur SinVR.

En scrutant le fonctionnement de l’API Web (interface de programmation d’applications) de l’application, elle s’est retrouvée en mesure de déclencher la fonction en mode manuelle. Troublant.

Dans sa contribution blog, Digital Interruption a précisé qu’elle a essayé d’entrer en contact avec l’équipe de SinVR (a priori basée en Californie). Mais en vain. D’où la diffusion publique des informations en guise de vigilance. 

“D’autres vulnérabilités qui n’ont pas d’impact direct sur les utilisateurs seront bientôt disponibles, mais nous aimerions donner aux développeurs de SinVR le temps de les corriger s’ils le souhaitent.”

Depuis la publication des informations, SinVR a remercié Digital Interruption selon le site média Alphr.com : “Au final, cela a été une formidable courbe d’expérience“.

Régulièrement, les données personnelles d’internautes visitant des sites pornographiques sont exposées. En 2016, les noms de près de 800 000 utilisateurs enregistrés sur le forum du site porno Brazzers avaient été propagés (voir article sur ITespresso.fr).

En 2015, l’affaire du piratage du site Ashley Madison qui incite à l’adultère avait aussi fait du bruit : des données personnelles de 30 millions d’utilisateurs avaient été divulguées.

(Crédit photo : @InVR)


Lire la biographie de l´auteur  Masquer la biographie de l´auteur