Kontrollverlust

Gravierende Sicherheitslücken in smarten Sex-Toys

Symbolbild

(Bild: ©Михаил Решетников - stock.adobe.com)

Forscher des IT-Sicherheitsanbieters ESET haben bei zwei vernetzten Sex-Spielzeugen gravierende Sicherheitslücken in den dazugehörigen Apps gefunden, über die Angreifer Malware auf dem Smartphone installieren und auch Daten stehlen könnten. Neben möglichen körperlichen Schäden durch den Missbrauch der Geräte bestehe die Gefahr, mit gestohlenen Fotos, Chats oder anderen Daten erpresst zu werden, warnte das Unternehmen.

Die Forscher stellten fest, dass das smarte Vibrationsei „Jive“ des Herstellers We-Vibe ständig seine Anwesenheit ankündigt und so mit einem Bluetooth-Scanner auffindbar war. Potenzielle Angreifer könnten damit das Gerät identifizieren und die Signalstärke nutzen, um zum Träger zu gelangen. Das Gerät verwendet demnach die Bluetooth-Low-Energy-Pairing-Methode (BLE), mit der es ohne Probleme möglich sei, den temporären Schlüsselcode, der von den Geräten während des Verbindungsaufbaus genutzt wird, zu verändern. So könne sich jedes Gerät mit dem „Jive“ verbinden. Eine Authentifizierung sei nicht nötig, wodurch das Gerät sehr anfällig für sogenannte Man-in-the-Middle-Angriffe sei, erläuterte ESET.

Beim Masturbator „Max“ von Lovesense stellten die Security-Spezialisten dagegen fest, dass sich dieser mit einem entfernten Gegenstück synchronisieren kann. Angreifer könnten damit die Kontrolle über beide Geräte übernehmen, obwohl nur eines kompromittiert wurde. In der dazugehörigen App gebe es zudem die Option, dass Bilder ohne Wissen des Besitzers an Dritte weitergeleitet werden, was eine Gefahr für die Privatsphäre der Nutzer darstelle. Ebenso hätten laut ESET gelöschte oder blockierte Nutzer weiterhin Zugriff auf den Chat-Verlauf und alle freigegebenen Multimedia-Inhalte.

Auch der „Max“ enthielt zudem keine Authentifizierung für BLE-Verbindungen, sodass Angreifer die Verbindung abfangen, Befehle senden und die Motoren des Geräts steuern könnten. Darüber hinaus werfe die Verwendung von E-Mail-Adressen in den Benutzer-IDs der App einige Datenschutzbedenken auf, da die Adressen im Klartext für alle an einem Chat beteiligten Telefone freigegeben würden, so das Unternehmen.

„Sicherheitsaspekt sträflich vernachlässigt“
„Gerade bei der Entwicklung intelligenter Sex-Spielzeuge muss IT-Sicherheit eine hohe Priorität genießen. Die möglichen Gefahren sind für den Anwender hoch, niemand möchte mit intimen Aufnahmen oder Gesprächen erpresst werden“, erklären die ESET-Forscherinnen Denise Giusto und Cecilia Pastorino. „Bei den meisten aktuellen Sex-Spielzeugen wurde von den Herstellern der Sicherheitsaspekt sträflich vernachlässigt. Dies muss sich mit der Weiterentwicklung dieser Geräte dringend ändern.“ Immerhin: We-Vibe und Lovesense haben die beanstandeten Sicherheitslücken bereits geschlossen.