Sicherheitslücken: Wenn das smarte Sexspielzeug von anderen gesteuert wird

Smarte Sexspielzeuge sind in der Pandemie beliebt, doch in den populären Geräten Lovense Max und We-Vibe Jive lauerten Sicherheitslücken.

Artikel veröffentlicht am ,
Die We-Connect-App von We Vibe im Einsatz
Die We-Connect-App von We Vibe im Einsatz (Bild: We-Vibe)

In der Coronapandemie steigen die Verkaufszahlen von smarten Sexspielzeugen, die sich auch gemeinsam mit anderen Personen über die Distanz nutzen lassen. Dabei kommunizieren die Sexualspielzeuge mit dem Smartphone und der Herstellercloud und die Personen beispielsweise über einen integrierten Gruppenchat oder eine Videokonferenz. Doch die Geräte und Dienste sind oft schlecht geschützt und bieten etliche Angriffsmöglichkeiten.

Stellenmarkt
  1. PHP Developer (m/w/d)
    XOVI GmbH, Köln
  2. Mitarbeiter (m/w/d) Netzwerk/IT-Infrastrukturadm- inistration im Prozessnetz
    Stadtwerke Bonn GmbH, Bonn
Detailsuche

Im schlimmsten Fall könnten die Sexspielzeuge durch Angriffe übernommen und kontrolliert werden, wodurch die betroffenen Personen Schäden erleiden könnten - beispielsweise wenn ein Gerät überhitzt werde, heißt es in einer Studie der Sicherheitsfirma Eset. Entsprechende Schwachstellen demonstrieren die beiden Forscherinnen Denise Giusto Bilić und Cecilia Pastorino anhand der beliebten Sexspielzeuge Max von Lovense und We-Vibe Jive.

Per MitM-Angriff das Sexspielzeug kontrollieren

Grundsätzlich gebe es zwei Schwachstellen bei smarten Sexspielzeugen; zum einen die Verbindung zum Smartphone, die meist per Bluetooth erfolgt, sowie die Verbindung der App auf dem Smartphone zur Herstellercloud. Im Falle von Bluetooth könnten die Geräte sehr leicht mit einem Scanner gefunden werden. Beispielsweise kündige sich das Sexspielzeug Jive mit seinem vollen Modellnamen an und könne über die konstante Leistung des Bluetooth-Signals geortet werden, schreiben die Forscherinnen.

Beim Pairing werde auf die Just-Works-Methode gesetzt, die sehr anfällig für Machine-in-the-Middle-Angriffe (MitM) sei, heißt es weiter. In einem Proof-of-Concept (PoC) konnte Jive übernommen und anschließend gesteuert werden. Beispielsweise habe sich der Vibrationsmodus oder dessen Intensität ändern lassen. Das sei im Falle von Jive besonders gravierend, da es sich um ein Wearable handle, das im Alltag - beispielsweise in Restaurants oder auf Partys - getragen werden könne.

Golem Akademie
  1. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
  2. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    12.–13. Januar 2022, virtuell
Weitere IT-Trainings

Dabei werfen die Forscherinnen auch die Frage nach den Konsequenzen auf, "wenn jemand ohne Zustimmung die Kontrolle über ein Sex-Gerät übernehmen kann, während es benutzt wird, und verschiedene Befehle an das Gerät sendet? Ist ein Angriff auf ein Sexualgerät sexueller Missbrauch und könnte er sogar zu einer Anklage wegen sexueller Nötigung führen?", schreiben Bilić und Pastorino.

Web-Zugriff per vierstelligem Token ungenügend gesichert

Auch in den Apps (Lovense Remote und We-Connect) mit denen sich die Sexspielzeuge steuern lassen, wurden mehrere Sicherheitsprobleme entdeckt. Mit der Lovense-App können demnach URLs generiert und weitergegeben werden, unter denen sich das Sexspielzeug fernsteuern lässt. Diese unterscheiden sich jedoch nur durch einen vierstelligen Token - durch simples Durchprobieren (Brute-Force) der 1.679.616 Möglichkeiten konnten gültige Tokens herausgefunden werden.

Obendrein fehlte der Lovense-App eine Ende-zu-Ende-Verschlüsselung und ein Schutz vor Bildschirmaufnahmen. Zudem entfernte die Löschen-Funktion im Chat die Nachrichten nicht vom Telefon des Chatpartners.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

"In der We-Connect-App wurden sensible Metadaten nicht aus den Dateien entfernt, bevor sie gesendet wurden, was bedeutet, dass Benutzer beim Sexting mit anderen Benutzern versehentlich Informationen über ihre Geräte und ihre genaue geografische Position gesendet haben könnten", schreiben die Forscherinnen. Die vierstellige PIN der App könne leicht mit einem BadUSB-Stick geknackt werden.

Die Sicherheitslücken wurden an die Hersteller gemeldet und mittlerweile behoben. Es ist allerdings nicht das erste Mal, das Sexspielzeuge - auch der genannten Hersteller - mit Sicherheits- und Datenschutzproblemen auffallen. We-Vibe hat nach einer Sammelklage bereits Entschädigungen in Millionenhöhe gezahlt.

Auch die Geräte anderer Hersteller sind von Sicherheitslücken betroffen, so konnten Angreifer den smarten Keuschheitsgürtel Cellmate übernehmen und beispielsweise ein Lösegeld fordern. Um die unsicheren Herstellerimplementierungen zu umgehen, wurde das Open-Source-Projekt Buttplug.io gestartet, mit dem sich Sexspielzeuge steuern lassen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Niaxa 13. Mär 2021

Einen gewissen Reiz haben, einem Fremden hier die Kontrolle zu überlassen. Hmmm gute Idee...

Crogge 13. Mär 2021

Einsam? Kein Problem! Ein gelangweilter Hacker wird dir heute viel Spaß bereiten... :D

ElMario 13. Mär 2021

Die Menschheit wurde anscheinend nicht genug sensibilisiert. Nun ist es zu spät. Da hilft...

ElTentakel 13. Mär 2021

Es geht noch schlimmer - ich hab mir mal aus wissenschaftlichen interesse die Doku von...

Eheran 12. Mär 2021

Hahaha Das steht so im Artikel und es sind die Verfasser des Artikels, den Golem...



Aktuell auf der Startseite von Golem.de
Bitcoin und Co.
Kryptowährungen stürzen ab

Bitcoin, Ether und andere Kryptowährungen haben ein schlechtes Wochenende hinter sich. Bitcoin liegt fast 20 Prozent unter dem Wert der Vorwoche.

Bitcoin und Co.: Kryptowährungen stürzen ab
Artikel
  1. Virtueller Netzbetreiber: Lycamobile ist in Deutschland insolvent
    Virtueller Netzbetreiber
    Lycamobile ist in Deutschland insolvent

    Lycamobile im Netz von Vodafone ist pleite. Der Versuch, über eine Tochter in Irland keine Umsatzsteuer in Deutschland zu zahlen, ist gescheitert.

  2. Arbeiten bei SAP: Nur die Gassi-App geht grad nicht
    Arbeiten bei SAP
    Nur die Gassi-App geht grad nicht

    SAP bietet seinen Mitarbeitern einiges. Manchen mag das zu viel sein, aber die geringe Fluktuation spricht für das Softwareunternehmen.
    Von Elke Wittich

  3. VATM: Telekommunikationsverband will Bundesnetzagentur aufspalten
    VATM
    Telekommunikationsverband will Bundesnetzagentur aufspalten

    Die beiden großen Telekommunikationsverbände VATM und Breko sind hinsichtlich einer Spaltung der Bundesnetzagentur gespalten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional Werkzeug und Zubehör • Corsair Virtuoso RGB Wireless Gaming-Headset 187,03€ • Noiseblocker NB-e-Loop X B14-P ARGB 24,90€ • ViewSonic VX2718-2KPC-MHD (WQHD, 165 Hz) 229€ • Alternate (u. a. Patriot Viper VPN100 2 TB SSD 191,90€) [Werbung]
    •  /