Internet of Things: Wenn Hacker den smarten Keuschheitsgürtel kontrollieren

Ein Forscherteam konnte nicht nur die Daten der Betroffenen auslesen, sondern auch deren Penis im Keuschheitsgürtel eingesperrt lassen.

Artikel veröffentlicht am ,
Gefangen im Cellmate?
Gefangen im Cellmate? (Bild: Qiui)

Bei smarten Sexspielzeugen können Sicherheitslücken besonders unangenehme Folgen haben: Bei einem Keuschheitsgürtel konnte das Projekt Internet of Dongs und die Sicherheitsfirma Pentestpartners nicht nur die Nutzerdaten einsehen, sondern kurzerhand die Steuerung übernehmen. Der smarte Keuschheitsgürtel gibt den Penis des Trägers nur über eine Begleitapp und den Server des Herstellers frei. Werden die Daten von Dritten geändert, können diese den Penis freigeben - oder eingesperrt lassen.

Über den Keuschheitsgürtel mit dem Namen Cellmate vom chinesischen Hersteller Qiui kann eine Vertrauensperson Macht über den Penis des Trägers ausüben, so die Idee. Der knapp 200 US-Dollar teure Peniskäfig öffnet sich nur, wenn die Vertrauensperson einen entsprechenden Befehl absetzt, der über den Server des Herstellers an die Begleitapp und anschließend per Bluetooth an den Keuschheitsgürtel übertragen wird.

Allerdings war die entsprechende API derart schlecht gesichert, dass auch Dritte Daten wie Name, Telefonnummer, E-Mail-Adresse, Geburtsdatum sowie den Standort, an dem die App geöffnet wurde, abfragen konnten. Dazu war entweder ein Mitgliedscode, der auf dem erstmaligen Anmeldedatum basiert, oder ein sechsstelliger Freundescode notwendig. Da die Codes entsprechend leicht zu erraten sind, hätte ein Eindringling die Datenbank innerhalb weniger Tage komplett auslesen können, erklärt Pentestpartners.

Dritte konnten den Keuschheitsgürtel kontrollieren

Mit Hilfe des Mitgliedscodes konnte Pentestpartners zudem Änderungen an den Daten vornehmen und die Erlaubnis zum Entsperren des Keuschheitsgürtels an sich reißen und den Penis beliebig lange eingesperrt lassen. Der Cellmate lässt sich dann nur noch mit einem Winkelschleifer oder dem Kurzschließen des Schließmotors öffnen.

Rund einen Monat, nachdem die Sicherheitsprobleme von Pentestpartners und Internet of Dongs an das Unternehmen gemeldet wurden, veröffentlichte Qiui im Juni eine neue API, die ein Teil der Probleme behebt. Laut Internet of Dongs ist die erste Version der API jedoch weiterhin für Geräte, die noch nicht aktualisiert wurden, aktiv, was die Sicherheitsmaßnahmen der neueren API aktiv untergräbt.

An einer dritten Version der API wird derzeit gearbeitet, die weitere Probleme beheben soll. Da die Probleme nach 6 Monaten nicht behoben wurden und die Kommunikation mit dem Hersteller sehr schwierig gewesen sei, haben sich Internet of Dongs und Pentestpartners zu einer Veröffentlichung der Sicherheitsprobleme entschieden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Internet of Things
Dildos sollen smart sein dürfen
artikel-bild
Erpressomaschine
Wenn die Kaffeemaschine Lösegeld verlangt
artikel-bild
Hisilicon
Vielzahl kritischer Lücken in Geräten mit Huawei-Encodern
Meistgelesen
artikel-bild
Wenn das Smartphone streikt
Fehlersuche schwer gemacht
artikel-bild
Künstliche Intelligenz
Eine starke KI muss von der Welt träumen können
artikel-bild
Sammanlänkad
Ikea bringt wandlungsfähige Solarlampe
Kommentarübersicht
Re: Gibt Sachen von denen hätte man lieber nichts...
Berzerk 10. Okt 2020

Isso

Re: Winkelschleifer!?! Ähhhh, ja, Nein Danke!
gunterkoenigsmann 10. Okt 2020

Wenn nicht, hat man immernoch die Möglichkeit, bei lebendigem Leibe einen Darwin Award zu...

Re: Da bleibt den Leuten mit Penisgefängnis nur...
listen242 09. Okt 2020

Eine andere Erklärung bleibt wohl kaum ;-}

Re: Motor kurzschließen?
Abdiel 09. Okt 2020

Der im Artikel verlinkte Teardown zeigt eindeutig einen Motor. Allerdings wird das Gerät...

Aktuell auf der Startseite von Golem.de
Automobil
Keine zwei Minuten, um einen Tesla Model 3 zu hacken

Bei der Hacking-Konferenz Pwn2Own 2023 hat ein Forschungsteam keine zwei Minuten benötigt, um ein Tesla Model 3 zu hacken. Das brachte dem Team jede Menge Geld und einen neuen Tesla ein.

Automobil: Keine zwei Minuten, um einen Tesla Model 3 zu hacken
Artikel
  1. Fiktive Szenarien und Stereotype: AfD nutzt KI-Fotos für propagandistische Zwecke
    Fiktive Szenarien und Stereotype
    AfD nutzt KI-Fotos für propagandistische Zwecke

    Politiker der Alternative für Deutschland (AfD) nutzen realistische KI-Bilder, um Stimmung zu machen. Die Bilder sind kaum von echten Fotos zu unterscheiden.

  2. Java 20, GPT-4, Typescript, Docker: Neue Java-Version und AI everwhere
    Java 20, GPT-4, Typescript, Docker
    Neue Java-Version und AI everwhere

    Dev-Update Oracle hat Java 20 veröffentlicht. Enthalten sind sieben JEPs aus drei Projekten. Dev-News gab es diesen Monat auch in Sachen Typescript, Docker und KI in Entwicklungsumgebungen.
    Von Dirk Koller

  3. Socket: ChatGPT findet Malware in NPM- und Python-Paketen
    Socket
    ChatGPT findet Malware in NPM- und Python-Paketen

    Der Anbieter eines Sicherheitsscanners, Socket, nutzt den Chatbot von OpenAI auch zur Untersuchung von Paketen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Crucial SSD 1TB/2TB bis -43% • RAM im Preisrutsch • RTX 4090 erstmals unter 1.700€ • MindStar: iPhone 14 Pro Max 1TB 1.599€ • SSDs & Festplatten bis -60% • AOC 34" UWQHD 279€ • 3 Spiele kaufen, 2 zahlen [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /