Daten der Benutzer konnten eingesehen und die Geräte von anderen Personen ferngesteuert werden.
Im Vorjahr sorgten gleich mehrere Sicherheitslücken und Hackerangriffe bei smarten Vibratoren und ähnlichem Sexspielzeug für Aufsehen. Passend dazu hat der heimische IT-Sicherheitsforscher Werner Schober von der Firma SEC Consult nun im Zuge seiner Masterarbeit im Studiengang Information Security der Fachhochschule St. Pölten die IT-Sicherheit und den Umgang mit persönlichen Daten bei Sexspielzeugen und begleitenden Apps untersucht. Seine Ergebnisse sind für die Nutzer alles andere als zufriedenstellend: Die Sicherung durch Passwörter stellte sich dabei als unzureichend heraus, persönliche Daten der Benutzer konnten eingesehen und die Geräte von anderen Personen ferngesteuert werden.
>>>Nachlesen: Hacker knacken Vibrator-Kamera aus der Ferne
Bluetooth-Vibrator mit App
Ausgangspunkt dieses Übels ist das Internet der Dinge (IoT). Wie berichtet, sind dadurch immer mehr (Alltags-)Gegenstände miteinander vernetzt: Autos, Gebäude, Stromzähler, Kameras, Fernseher, Kühlschränke – und eben auch Sexspielzeug. Schober hat in seiner Abschlussarbeit die IT-Sicherheit von Sexpielzeug anhand des „Vibratissimo Panty Buster“ untersucht. Bei dem Gerät handelt es sich um eine Art Vibrator, der in den Slip eingelegt und über eine App am Smartphone mittels Bluetooth gesteuert wird. Die App bietet zudem die Möglichkeit, persönliche Profile anzulegen, um sich mit anderen Benutzerinnen oder Benutzern auszutauschen. Über die App kann per Video gechattet und können Bildergalerien ausgetauscht werden.
Zugriff auf Daten und Fotos
„Angreifern war es möglich, hochsensible Daten wie sexuelle Orientierung, explizites Bildmaterial, Passwörter, E-Mail- und persönliche Adressen unbeschränkt aus der gesamten Benutzerdatenbank auszulesen. Außerdem war es möglich, ohne Zustimmung der Betroffenen die Geräte über Bluetooth zu aktivieren und diese fernzusteuern, etwa wenn man sich in Bluetooth-Reichweite befindet oder über das Internet“, sagt Schober. Basierend auf den offiziellen Statistiken aus dem Google Play Store und dem Apple App Store schätzt der IT-Experte, dass eine sechsstellige Anzahl an Benutzern betroffen sein könnte.
Schober hat den deutschen Hersteller und Vertreiber des Produkts vor der Veröffentlichung der Schwachstellen über CERT-Bund, das deutsche Computer-Notfallteam des Bundesamts für Sicherheit und Informationstechnik, informiert. Der Betreiber hat die kritischsten Schwachstellen, wie zum Beispiel den Zugriff auf die Datenbank, innerhalb von zwei Stunden behoben.
>>>Nachlesen: Smarter Vibrator spionierte Frauen aus
Fernsteuerung
An den weiteren Schwachstellen arbeitet die Herstellerfirma noch. Um die Möglichkeit des ungewollten Fernsteuerns zu unterbinden, braucht es jedoch ein Software-Update, für das die Geräte eingeschickt werden müssen. Schober zufolge ist das Fernsteuern laut Hersteller aber von manchen Usern durchaus gewünscht – etwa für das gegenseitige Vergnügen in Swingerclubs. Schober untersucht in seiner Masterarbeit derzeit noch die IT-Sicherheit zweier ähnlicher Produkte: MagicMotion Flamingo und Realov Lydia. Die Ergebnisse der Analyse werden nach Abschluss auf dem Blog von SEC Consult veröffentlicht.
„Mit solchen Sicherheitstests für Geräte und Anwendungen, deren Ergebnisse immer vor der Veröffentlichung den Herstellerinnen und Herstellern mitgeteilt werden, tragen IT-Expertinnen und -Experten wesentlich dazu bei, die Sicherheitslücken zu schließen“, erklärt Sebastian Schrittwieser, IT-Sicherheitsforscher an der FH St. Pölten und Betreuer der Masterarbeit. Studenten der FH St. Pölten haben in den letzten Jahren etwa auch schon die IT-Sicherheit von Smart Homes und Registrierkassen-Apps untersucht.
>>>Nachlesen: Eigener App-Store für Sex-Apps gestartet
