«Реквизиты доступа ко всей базе данных Vibratissimo оказались в общем доступе в интернете. А поскольку интерфейс PHPMyAdmin также находится в общем доступе, злоумышленник мог бы подключиться к базе данных и выкачать все сведения», - указывается в бюллетене.
Помимо этого, указывают исследователи, специализированное приложение Vibratissimo под Android использовало слабый и нерекомендуемый метод авторизации, при котором логин и пароль отправляются на сервер при каждом обращении к нему; никаких средств управления сессиями не реализовано. Но, по крайней мере, пароль и логин отправляется в зашифрованном виде.
Разнообразие «дыр» в вибратореМобильное приложение также использовало функцию «быстрый контроль», позволяющую получить быстрый контроль над устройством через интернет (зачем бы то ни было). Для этого достаточно отправить уникальный идентификатор по электронной почте или через SMS.
Кадр обучающего ролика на сайте Vibratissimo