Sicherheit geht vor
16.03.2021, 21:05 Uhr
Schwachstellen in smarten Sex-Spielzeugen entdeckt
Moderne Sex-Toys lassen sich mit Apps koppeln und bieten so auch Messaging, Videochats oder webbasierte Interkonnektivität. Das bietet Hackern ganz neue Möglichkeiten. Eset hat bei We-Vibe und Lovesense-Produkten Sicherheitslücken gefunden.
Während der Corona-Pandemie waren und sind die Menschen (viel) mehr Zuhause. Viele haben ihr Homeoffice eingerichtet, manche wegen geschlossener Fitness-Studios ihren Kraftraum in den eigenen vier Wänden. Wieder andere suchten sich neue Hobbys. Über stark wachsende Verkaufszahlen durften sich darum beispielsweise die Hersteller von vernetzten Sex-Spielzeugen freuen. Und diese weisen teilweise Sicherheitslücken auf, wie Sicherheitsproduktentwickler Eset mitteilt.
Während der Pandemie erfreuten sich die Produkte We-Vibe Jive oder der Lovense Max grosser Beliebtheit. Das haben auch Cyberkriminelle mitbekommen. Eset fand die Schwachstellen in den Apps, die die beiden Sex-Spielzeuge steuern. Laut einer Mitteilung können Angreifer Malware auf den verwendeten Smartphones installieren und auch Daten stehlen. Die Nutzer können anschliessend mit gestohlenen Fotos, Chats oder anderen Daten erpresst werden.
We-Vibe
Eset-Forscher fanden heraus, dass der We-Vibe Jive fortlaufend seine Anwesenheit ankündigt und dadurch mit einem Bluetooth-Scanner auffindbar war. Ein potenzieller Angreifer könnte damit das Gerät indentifizieren und die Signalstärke nutzen, um zum Träger zu gelangen. Da das Gerät Bluetooth-Low-Energy als Pairing-Methode verwendet (BLE), konnte Eset den temporären Schlüsselcode, der von den Geräten während des Verbindungsaufbaus verwendet wird, ohne Probleme verändern, heisst es in der Mitteilung weiter. Eine Authentifizierung sei nicht nötig gewesen. Für die Kontrolle war die App nicht erforderlich, sondern es genügte bereits ein Browser.
Lovesense
Der Lovesense Max kann sich über grössere Entfernungen synchronisieren. Das heisst, der Max lässt sich aus der Ferne steuern. Des Weiteren heisst das, auch wenn Angreifer nur ein Gerät kompromittieren, können sie beide übernehmen. Auch der Max von Lovesense benötigt keine Authentifizierung für BLE-Verbindungen.
Nach Angaben von Eset ist das App-Design problematisch für die Nutzer-Privatsphäre. Anscheinend gibt es die Optionen, dass Bilder ohne Wissen des Besitzers an Dritte weitergeleitet werden. Ausserdem sollen gelöschte oder blockierte Nutzer weiterhin Zugriff auf den Chat-Verlauf sowie alle freigegebenen Multimedia-Inhalte haben. Wer denkt jetzt gerade an den Ex-Partner, den man doch gelöscht hatte? So oder so: Die Vorstellung ist creepy.
Beide Erwachsenen-Spielzeug-Hersteller wurden von Eset über die Schwachstellen informiert und haben diese bereits geschlossen.
Weitere Informationen finden Sie im Welivesecurity-Blog von Eset.