Erst gestern habe ich darüber berichtet, dass Hacker sich mehr und mehr auf Schwachstellen im Smart Home konzentrieren. Nun erreichte uns eine Meldung zu Schwachstellen bei zwei smarten Sexspielzeugen, die ESET Forscher entdeckt haben. Die Schwachstellen sind mittlerweile durch die Hersteller behoben worden.
Risiko Privatsphäre bei Sicherheitslücken in Sexspielzeugen
Bei smarten Sexspielzeug spielt nicht nur das Thema „Einfallstor“ in das eigene Netzwerk eine Rolle. Mal abgesehen davon, dass Hacker hier irgendwelche Daten vom Smartphone abgreifen könnten, spielt die Privatsphäre eine große Rolle! Namen, sexuelle oder geschlechtsspezifische Orientierungen, Listen von Sexualpartnern, Informationen zur Gerätenutzung, intime Fotos und Videos – all das sind Informationen, die doch lieber privat bleiben sollten bzw. katastrophale Folgen haben, wenn sie in die falschen Hände fallen.
Tatsächlich gab es in der Vergangenheit bereits ähnliche, reale Angriffsszenarien. Sicherheitsforscher fanden Ransomware, die dazu gedacht war, angreifbare Keuschheitsgürtel während der Verwendung zu sperren, um dann die Opfer zu erpressen. Nur gegen die Zahlung eines Lösegelds sollten sie wieder aus ihren Gadgets freikommen.
Der starke Anstieg beim Verkauf smarter Sextoys hat viel mit der aktuellen, weltweiten Situation und den sozialen Distanzierungsmaßnahmen im Zusammenhang mit COVID-19 zu tun. Das macht die gefundenen Erkenntnisse der Forscher heute relevanter denn je.
Schwachstellen bei zwei beliebten smarten Geräten
Die Schwachstellen fanden die ESET Forscher in den Apps, die die beiden Sexspielzeuge steuern. Hierbei können Angreifer Malware auf die genutzten Smartphones installieren und auch Daten stehlen. Neben möglichen körperlichen Schäden durch den Missbrauch der Geräte besteht die Gefahr, mit gestohlenen Fotos, Chats oder anderen Daten erpresst zu werden. Beide Hersteller erhielten von ESET Informationen zu den Schwachstellen und haben diese bereits geschlossen.
We-Vibe „Jive“
Der We-Vibe „Jive“ kündigt ständig seine Anwesenheit an und ist so mit einem Bluetooth-Scanner auffindbar. Angreifer könnten damit das Gerät identifizieren und die Signalstärke nutzen, um zum Träger zu gelangen. Das Gerät verwendet die Bluetooth-Low-Energy-Pairing-Methode. Hierbei ist es ohne Probleme möglich, den temporären Schlüsselcode zu verändern, der von den Geräten während des Verbindungsaufbaus genutzt wird. So kann sich jedes Gerät mit dem „Jive“ verbinden. Eine weitere Authentifizierung ist nicht nötig. Die offizielle App des Herstellers ist für die Verbindung nicht erforderlich, hierzu genügt ein Browser.
Ein weiteres Problem stellt der Chat in der App dar. Nutzer können hier Multimedia Dateien versenden. Hier besteht die Gefahr, das Informationen der genutzten Geräte oder die Standortdaten geteilt werden.
Lovense „Max“
Auch der Lovense „Max“ enthält keine Authentifizierung für BLE-Verbindungen, so dass es für Man-in-the-Middle-Angriffe verwendet werden kann, um die Verbindung abzufangen, Befehle zu senden und die Motoren des Geräts zu steuern. Darüber hinaus wirft die Verwendung von E-Mail-Adressen in den Benutzer-IDs der App einige Datenschutzbedenken auf, da die Adressen im Klartext für alle an einem Chat beteiligten Telefone freigegeben werden.
Generell müssen beide Hersteller sich zu diesem wichtigen Thema zukünftig mehr Gedanken machen, um bei ihrem Sexspielzeug mögliche Schwachstellen zu unterbinden.
Die komplette Analyse haben die ESET Forscher im Whitepaper „Sex in the Digital Era“ zusammengetragen. Das Paper ist hier erhältlich: https://www.welivesecurity.com/deutsch/2021/03/12/sex-im-digitalen-zeitalter-wie-sicher-sind-smarte-sextoys/.
Ihr wollt in Zukunft keine News mehr verpassen? Dann folgt uns auf Facebook, Twitter, dem RSS Feed oder abonniert unseren Newsletter! Auch auf YouTube findet Ihr übrigens viele hilfreiche Videos.
Hinterlasse uns einen Kommentar
Mit der Nutzung dieses Formulars, erklärst du dich mit der Speicherung und Verarbeitung deiner Daten durch diese Website einverstanden. Weitere Informationen kannst du der Datenschutzerklärung entnehmen.