【安全资讯】Lovense情趣玩具应用漏洞泄露用户隐私邮箱地址

概要：

知名互动情趣玩具品牌Lovense近日曝出严重安全漏洞，攻击者仅凭用户名即可获取用户注册邮箱，导致全球2000万用户面临隐私泄露风险。该漏洞由安全研究员BobDaHacker团队发现，涉及XMPP通信系统与后端API的交互缺陷，可能引发大规模人肉搜索与骚扰事件。

主要内容：

安全团队通过逆向工程发现，攻击者首先向/api/wear/genGtoken接口发送凭证获取加密密钥，随后将公开获取的用户名加密后提交至/app/ajaxCheckEmailOrUserIdRegisted接口。服务器返回的伪造Jabber ID（JID）经XMPP协议交互后，会暴露真实邮箱格式（如username!!!domain.com_w@im.lovense.com），攻击脚本可在1秒内完成单次攻击。

该漏洞根源在于XMPP系统错误构造JID时直接嵌入了用户邮箱。研究人员同时发现关键账户劫持漏洞，攻击者仅需邮箱即可生成有效认证令牌，甚至可接管管理员账户。尽管Lovense声称已修复，但实测显示邮箱泄露漏洞仍存在，公司解释称完整修复需14个月以保持旧版兼容性。

值得注意的是，配套插件FanBerry及社交平台公开用户名加剧了风险。这已是Lovense自2016年来第三次曝出邮箱泄露问题。安全团队批评企业将旧版兼容性置于安全之上，目前漏洞代理缓解措施效果存疑，数百万用户隐私仍处于暴露状态。