SOURCES: PenTest Partners, TechCrunch, The Verge
https://techcrunch.com/2020/10/06/qiui-smart-chastity-sex-toy-security-flaw/#:~:text=U.K.%2Dbased%20security%20firm%20Pen,lock%20in%20the%20user's%20penis.
https://www.pentestpartners.com/security-blog/smart-male-chastity-lock-cock-up/?=october-5-2020
https://www.theverge.com/2020/10/6/21504019/internet-enabled-male-chastity-cage-cellmate-qiui-security-flaw-remotely-locked
TEKNOLOGI — Gembok kesucian bernama The Cellmate ini bisa Anda percaya untuk menjaga barang pribadi milik pria.
Cara kerja gadget ini mengijinkan seorang partner yang dipercaya pengguna untuk mengunci dan membuka kunci secara remote melalui Bluetooth dengan aplikasi seluler.
Namun menurut Pentest Partners, firma security di Inggris mengatakan adanya cacat pada ‘gembok kesucian’ yang terhubung ke internet Qiui Cellmate.
Cacat ini mengijinkan siapapun untuk mengunci ‘alat vital’ pengguna secara jarak jauh dan permanen, seperti yang tertulis dalam blog di situs resmi PenTest.
Karena aplikasi seluler itu berkomunikasi dengan kunci menggunakan API, dan API dibiarkan terbuka tanpa kata sandi, memungkinkan siapapun untuk mengambil kendali penuh atas perangkat pengguna mana pun.
Hacker yang tidak dikenal pun bisa ikut mengontrol kunci dari gembok kesucian ini.
Apabila ada hacker yang iseng mengunci alat vital pengguna The Cellmate, ya tentunya untuk melepas alat itu sulit jadinya.
Karena gembok kesucian itu dirancang untuk mengunci dengan cincin logam di bawah alat vital pengguna. Para peneliti mengatakan untuk membukanya mungkin memerlukan intervensi pemotong baut atau penggiling sudut untuk membebaskan pengguna.
Menurut Alex Lomas, salah satu peneliti, ‘penyerang’ dapat mengunci "semua orang masuk atau keluar" dengan sangat cepat.
"Tidak ada fungsi penggantian darurat, jadi jika Anda terkunci di dalam, tidak ada jalan keluar," tulisnya.
API yang tidak aman juga mengizinkan akses ke pesan pribadi dan lokasi akurat dari aplikasi pengguna.
Kelemahan sekuriti dari gadget ini baru dipelajari oleh Techcrunch pada Juni 2020. Peneliti kemudian menghubungi Qiui yang berbasis di China tentang API yang cacat.
Menanggapi hal tersebut, kepala eksekutif Qiui, Jake Guo, mengatakan kepada TechCrunch bahwa perbaikan akan tiba pada bulan Agustus, tetapi tenggat waktu datang dan pergi.
Dalam email tindak lanjut yang menjelaskan risiko bagi pengguna, Guo berkata: "Saat kami memperbaikinya, itu menciptakan lebih banyak masalah."
Pada akhirnya, Qiui melewatkan tiga deadline yang mereka berlakukan sendiri untuk memperbaiki API yang rentan, kata Lomas.
Namun, meskipun ada kerentanan dalam sistem API pada gadget tersebut, beberapa ulasan dari pengguna mengatakan bahwa aplikasi gadget dewasa itu mengunci secara acak meskipun tanpa ada campur tangan dari hacker.