Internet of Things: Wenn Hacker den smarten Keuschheitsgürtel kontrollieren

Ein Forscherteam konnte nicht nur die Daten der Betroffenen auslesen, sondern auch deren Penis im Keuschheitsgürtel eingesperrt lassen.

Artikel veröffentlicht am ,
Gefangen im Cellmate?
Gefangen im Cellmate? (Bild: Qiui)

Bei smarten Sexspielzeugen können Sicherheitslücken besonders unangenehme Folgen haben: Bei einem Keuschheitsgürtel konnte das Projekt Internet of Dongs und die Sicherheitsfirma Pentestpartners nicht nur die Nutzerdaten einsehen, sondern kurzerhand die Steuerung übernehmen. Der smarte Keuschheitsgürtel gibt den Penis des Trägers nur über eine Begleitapp und den Server des Herstellers frei. Werden die Daten von Dritten geändert, können diese den Penis freigeben - oder eingesperrt lassen.

Stellenmarkt
  1. Leitung Projektmanagement IT (m/w/d)
    Waschbär GmbH, Freiburg im Breisgau
  2. Senior IT Professional Electronic Data Interchange (EDI) (m/w/d)
    ALDI International Services SE & Co. oHG, Mülheim an der Ruhr, Duisburg, Dortmund, Düsseldorf
Detailsuche

Über den Keuschheitsgürtel mit dem Namen Cellmate vom chinesischen Hersteller Qiui kann eine Vertrauensperson Macht über den Penis des Trägers ausüben, so die Idee. Der knapp 200 US-Dollar teure Peniskäfig öffnet sich nur, wenn die Vertrauensperson einen entsprechenden Befehl absetzt, der über den Server des Herstellers an die Begleitapp und anschließend per Bluetooth an den Keuschheitsgürtel übertragen wird.

Allerdings war die entsprechende API derart schlecht gesichert, dass auch Dritte Daten wie Name, Telefonnummer, E-Mail-Adresse, Geburtsdatum sowie den Standort, an dem die App geöffnet wurde, abfragen konnten. Dazu war entweder ein Mitgliedscode, der auf dem erstmaligen Anmeldedatum basiert, oder ein sechsstelliger Freundescode notwendig. Da die Codes entsprechend leicht zu erraten sind, hätte ein Eindringling die Datenbank innerhalb weniger Tage komplett auslesen können, erklärt Pentestpartners.

Dritte konnten den Keuschheitsgürtel kontrollieren

Mit Hilfe des Mitgliedscodes konnte Pentestpartners zudem Änderungen an den Daten vornehmen und die Erlaubnis zum Entsperren des Keuschheitsgürtels an sich reißen und den Penis beliebig lange eingesperrt lassen. Der Cellmate lässt sich dann nur noch mit einem Winkelschleifer oder dem Kurzschließen des Schließmotors öffnen.

Golem Akademie
  1. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    3.–4. März 2022, virtuell
  2. Unreal Engine 4 Grundlagen: virtueller Drei-Tage-Workshop
    28. Februar–2. März 2022, Virtuell
Weitere IT-Trainings

Rund einen Monat, nachdem die Sicherheitsprobleme von Pentestpartners und Internet of Dongs an das Unternehmen gemeldet wurden, veröffentlichte Qiui im Juni eine neue API, die ein Teil der Probleme behebt. Laut Internet of Dongs ist die erste Version der API jedoch weiterhin für Geräte, die noch nicht aktualisiert wurden, aktiv, was die Sicherheitsmaßnahmen der neueren API aktiv untergräbt.

An einer dritten Version der API wird derzeit gearbeitet, die weitere Probleme beheben soll. Da die Probleme nach 6 Monaten nicht behoben wurden und die Kommunikation mit dem Hersteller sehr schwierig gewesen sei, haben sich Internet of Dongs und Pentestpartners zu einer Veröffentlichung der Sicherheitsprobleme entschieden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Dataport
"Die Arbeit wird uns nicht so schnell ausgehen"

Ein Job mit Zukunft und Sinnhaftigkeit, sicherer Bezahlung und verlässlichen Arbeitsbedingungen - so hat es Dataport zum Top-IT-Arbeitgeber geschafft.
Von Sebastian Grüner

Dataport: Die Arbeit wird uns nicht so schnell ausgehen
Artikel
  1. Jolly: Arduino-Chip ergänzt Bastelrechner um WLAN-Empfang
    Jolly
    Arduino-Chip ergänzt Bastelrechner um WLAN-Empfang

    Das Jolly-Modul wird von einem der Co-Gründer des Arduino-Projektes entwickelt. Es ergänzt das Standard-SoC um ein WLAN-Modul.

  2. Microsoft: Sony äußert sich zur Übernahme von Activision Blizzard
    Microsoft
    Sony äußert sich zur Übernahme von Activision Blizzard

    Rund 20 Milliarden US-Dollar haben die Aktien von Sony verloren. Nun hat der Konzern erstmals den Kauf von Activision Blizzard kommentiert.

  3. Halbleiterfertigung in Europa: Wir haben keine Zeit zu verlieren
    Halbleiterfertigung in Europa
    "Wir haben keine Zeit zu verlieren"

    Noch im Februar 2022 will die Europäische Union ihre Pläne zum European Chips Act, also der Halbleiterfertigung in der EU, veröffentlichen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 989€ • The A500 Mini Retro-Konsole mit 25 Amiga-Spielen vorbestellbar 189,90€ • RX 6800 16GB 1.129€ • Intel Core i9 3.7 459,50€ Ghz • WD Black 1TB inkl. Kühlkörper PS5-kompatibel 189,99€ • Switch: 3 für 2 Aktion • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /