Erpressungsgefahr: Schwere Sicherheitslücken bei vernetztem Sexspielzeug
Die Bluetooth-Funktionen smarter Masturbatoren und Vibratoren waren nicht dicht. IT-Sicherheitsforscher warnen vor Missbrauch und körperlichen Schäden.
(Bild: Dmitri Ma/Shutterstock.com)
Bei zwei vernetzten Sex-Toys haben Experten der IT-Sicherheitsfirma Eset größere Schwachstellen gefunden. Es geht um den Vibrator Jive von We-Vibe und den Masturbator Max von Lovense, die sich beide auch aus der Ferne übers Internet steuern lassen. Doch bei den Bluetooth-Schnittstellen und den Apps zum Verknüpfen etwa mit einem Smartphone gab es jeweils größere Sicherheitsprobleme.
Fotos, Chats oder anderen Daten
Angreifer hätten Malware auf den genutzten Mobiltelefonen installieren und Daten stehlen können, erklären die Sicherheitsforscherinnen Denise Giusto und Cecilia Pastorino in ihrem Bericht zu den gefundenen Lücken. Neben möglichen körperlichen Schäden durch den Missbrauch der Geräte habe die Gefahr bestanden, mit gestohlenen Fotos, Chats oder anderen Daten erpresst zu werden. Eset hat beide Hersteller über die Schwachstellen informiert, diese sollen mittlerweile geschlossen sein.
Beim We-Vibe Jive stellte das Team fest, dass dieser ständig seine Präsenz anzeigt und so mit einem Bluetooth-Scanner auffindbar war. Potenzielle Angreifer könnten damit das Gerät identifizieren und die Signalstärke nutzen, um zum Träger zu gelangen. Zum Koppeln nutzt der Vibrator die Bluetooth-Low-Energy-Pairing-Methode (BLE). Dabei ist es einfach möglich, den temporären Schlüsselcode, der von den Geräten während des Verbindungsaufbaus genutzt wird, zu verändern.
Zugriffsmöglichkeit bereits gelöschter oder blockierter Nutzer
So könne sich jedes Gerät mit dem Jive verbinden, führt Eset aus. Eine Authentifizierung sei nicht nötig. Um die Kontrolle über den Vibrator zu erlangen, genüge schon ein Browser. Dadurch sei das Gerät sehr anfällig für Man-in-the-Middle-Angriffe. Bei Chatsitzungen haben Nutzer die Option, Dateien wie Videos oder Fotos zu senden. Hier besteht laut den Experten die Gefahr, dass dabei auch Informationen über die genutzten Geräte und genaue Ortsdaten geteilt werden.
Beim Lovense-Befriedigungswerkzeug hat Eset im Design der zugehörigen App eine Gefahr für die Privatsphäre der Nutzer ausgemacht. Bilder hätten ohne Wissen des Besitzers an Dritte weitergeleitet werden können. Ferner sei gelöschten oder blockierten Nutzer weiterhin ein Zugriff auf den Chat-Verlauf und alle freigegebenen Multimedia-Inhalte möglich gewesen. Auch dieses Gerät habe keine Authentifizierung für BLE-Verbindungen erfordert. Die Verwendung von E-Mail-Adressen in den Benutzer-IDs der App habe zudem Datenschutzbedenken aufgeworfen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Bei We-Vibe hatte es bereits vor einigen Jahren Ärger wegen der heimlichen Weitergabe von Nutzungsdaten gegeben. Ein einschlägiger Rechtsstreit endete in den USA mit einem Vergleich und einer Millionenzahlung. Sicherheitsforschern gelang es zudem jüngst, den fernsteuerbaren Keuschheitsgürtel Cellmate zu übernehmen. Sie stießen auf unverschlüsselte sensible Daten aller Nutzer.
(bme)
