知名智能情趣用品品牌Lovense被曝其应用存在零日漏洞,攻击者仅需获知用户公开用户名,即可获取其注册邮箱,带来被曝光及骚扰的风险。Lovense凭借Lush、Gush等APP控制型设备在全球拥有两千万用户,尤其在网络直播领域深受欢迎。
据安全研究员BobDaHacker团队披露,只需通过论坛或社交平台广泛公开的Lovense用户名,结合特定API接口操作,即可利用该漏洞将用户名关联到真实邮箱地址。这意味着普通用户和网络表演者的隐私均面临威胁。
研究团队于2025年3月已向Lovense披露了两个安全漏洞,仅账户劫持问题获得修复,涉及邮箱泄露的重大隐私缺陷至今未被官方彻底解决。专家提醒用户尽量减少在公开平台暴露用户名,并密切关注官方后续安全补丁。