Rischio sicurezza per i sex toys connessi Lovense: basta lo username per risalire all’email personale

Una grave vulnerabilità zero-day nella piattaforma di sex toy connessi Lovense consente a un attaccante di ottenere l’indirizzo email di un utente conoscendo semplicemente il suo username. La falla, che non è stata ancora corretta, espone milioni di clienti al rischio di doxxing e molestie, e getta più di qualche ombra sulle misure di sicurezza dell'azienda che al momento conta oltre 20 milioni di clienti in tutto il mondo.

Lovense è tra i principali produttori di sex toy interattivi controllabili via app, particolarmente popolari tra chi pratica intrattenimento a distanza e, soprattutto, tra i modelli e modelle di cam che permettono agli spettatori di prendere il controllo remoto dei dispositivi in cambio di mance o abbonamenti.

Questa modalità di interazione espone anche pubblicamente lo username Lovense, che spesso viene condiviso su forum e social network. A causa della vulnerabilità segnalata, chiunque sia a conoscenza dello username può risalire all’indirizzo email personale dell’utente, violando così la privacy ed elevando il rischio di esposizione e molestie.

La vulnverabilità è stata individuata dal ricercatore di sicurezza BobDaHacker, che a effettuato un’analisi reverse-engineering dell’app Lovense automatizzando l’attacco. Le ricerche, iniziate a marzo 2025, hanno portato all’individuazione di due gravi falle: una che consentiva il completo hijacking dell’account tramite la generazione di token di autenticazione senza conoscere la password (compromettendo anche gli account amministratore), l’altra relativa alla possibilità di ottenere l’email conoscendo solamente lo username. Lovense ha corretto solo la falla più critica (quella relativa all’hijacking dell’account) nelle scorse settimane, mentre la seconda resta ad oggi irrisolta, nonostante il clamore della segnalazione e l’ampia dimostrazione di exploit.

Il problema nasce dall’interazione tra il sistema di chat XMPP dell’app e il backend della piattaforma. Nel dettaglio, l’attaccante può richiedere i token di autenticazione e chiavi crittografiche tramite l’endpoint /api/wear/genGtoken. Queste chiavi permettono di cifrare uno username pubblico, tramite il quale è possibile ricavare dal sistema una finta email da cui si può estrarre un finto Jabber ID. Con questi elementi è sufficiente inviare una richiesta di presenza via XMPP e aggiornando la lista dei contatti comparirà sia il Jabber ID fasullo che quello reale, che è costruito a partire dall'email reale nel formato "username!!!dominio.com_w@im.lovense.com" da cui è semplice ricostruire l'indirizzo email della vittima designata. Da qui, risulta banale estrarre l’indirizzo email dell’utente target (nell'esempio, sarebbe username@dominio.com)

La procedura è estremamente rapida: basta meno di un secondo per utente usando uno script apposito. Il processo non richiede nemmeno che il destinatario accetti nuove richieste di amicizia, rendendo l’attacco praticabile su larga scala. I ricercatori avvertono che varie piattaforme pubbliche e le estensioni ufficiali di Lovense possono facilitare il reperimento di username pubblici, allargando il perimetro di rischio.

Accanto a questa vulnerabilità, la squadra di ricercatori ha individuato anche la possibilità di generare token di autenticazione validi per qualsiasi utente, compresi gli amministratori, conoscendo solo l’email. Questi token consentivano l’accesso a servizi Lovense come Connect, StreamMaster e Cam101 senza la necessità della password. Lovense ha inizialmente minimizzato il problema, ma ha poi classificato questo bug come critico e lo ha risolto in tempi relativamente brevi, respingendo i token generati in modo anomalo sulle API.

Nonostante la segnalazione ufficiale – avvenuta tramite HackerOne e con premi per un totale di 3.000 dollari per i ricercatori – l’azienda ha riconosciuto di aver bisogno di almeno 14 mesi per risolvere il problema delle email, spiegando che una soluzione rapida (di circa un mese) avrebbe richiesto l’obbligo di aggiornamento immediato per tutti gli utenti, compromettendo l’esperienza d’uso sulle versioni meno recenti dell’app.

Ad oggi, chiunque utilizzi dispositivi Lovense, e in particolare chi condivide pubblicamente il proprio username, è a rischio di esposizione indesiderata della propria email. Ciò riguarda migliaia di persone e mette a rischio soprattutto chi, per motivi lavorativi o personali, tiene alla riservatezza della propria identità. La situazione richiede massima cautela nella gestione dello username nell'attesa che la società risolva il problema.