Einigen der beliebtesten smarten Sexspielzeuge fehlen immer noch grundlegende Sicherheitsmaßnahmen. Dies zeigt das Whitepaper „Sex in the digital era: How secure are smart sex toys?” von ESET deutlich auf.
Smarte Sextoys sind mit einer Vielzahl von Funktionen ausgestattet: Internetverbindung, Fernsteuerung, Bluetooth-Verbindungen, Video, Messaging, Apps zur Messung und Überwachung von Reaktionen und mehr.
Es gibt jedoch Bedenken, dass Sexspielzeuge im Eifer des Gefechts immer mehr Konnektivitätsoptionen anbieten und die Anwender damit offen für Datenverletzungen und Angriffe, sowohl im Cyber- als auch im physischen Bereich, lassen könnten.
Am Donnerstag haben Forscher von ESET ein Whitepaper veröffentlicht, das die Sicherheitslage dieser Geräte untersucht: insbesondere zwei beliebte Produkte von WOW Tech Group und Lovense.
Das erste Thema ist We-Vibe Jive, ein Bluetooth-fähiger Vibrator für Frauen, der mit der mobilen App We-Connect verbunden werden kann, um die Vibrationen zu steuern und die Kontrolle an einen Partner zu übergeben.
Das zweite untersuchte Produkt war der Lovense Max, eine Masturbationshülle für Männer. Auch dieses Gerät kann mit einer mobilen App, der Lovense Remote, verbunden werden, die mit Funktionen wie „lokale Fernsteuerung, Fernsteuerung, musikbasierte Vibrationen, Erstellen und Teilen von Mustern, Senden von Mustern, die zwei Toys miteinander synchronisieren, [und] klangaktivierte Vibrationen“ beschrieben wird.
Sowohl für den Jive als auch für den Max untersuchten die Forscher die Sicherheit zwischen den Geräten und den Apps im Google Play Store. Beide Geräte verwenden Bluetooth Low Energy (BLE) Technologien, die zwar nützlich sind, um den Stromverbrauch niedrig zu halten, aber nicht unbedingt sehr sicher sind.
Der We-Vibe Jive beschränkt die Erfassung von Anwenderdaten auf ein Minimum, verwendet aber die am wenigsten sichere BLE-Kopplungsoption – ein temporärer Code, der zur Verbindung des Jive verwendet wird, ist auf Null gesetzt. Infolgedessen war das Gerät anfällig für Man-in-The-Middle (MitM)-Angriffe, bei denen sich jedes nicht authentifizierte Smartphone oder PC mit einem physischen Gerät verbinden konnte.
Da es sich um ein Wearable-Produkt handelt, ist es möglich, dass Anwender es unterwegs tragen – und das Jive sendete seine Anwesenheit „ständig“, um eine Verbindung herzustellen, so ESET.
„Jeder kann einen einfachen Bluetooth-Scanner verwenden, um solche Geräte in seiner Nähe zu finden“, so die Forscher. „[Jive] ist so konzipiert, dass der Anwender es im Alltag tragen kann – in Restaurants, auf Partys, in Hotels oder an jedem anderen öffentlichen Ort. In diesen Situationen könnte ein Angreifer das Gerät identifizieren und die Signalstärke des Geräts als Kompass verwenden, um sich zu orientieren und sich allmählich zu nähern, bis er genau die Person findet, die das Gerät trägt.“
Multimediadateien können zwischen We-Connect Anwendern während Chat-Sitzungen ausgetauscht werden und während sie gelöscht werden, sobald die Nachrichtenübermittlung endet – ein Versuch, die wahrscheinlich intimen Inhalte zu schützen – blieben die Metadaten erhalten. Mit anderen Worten, wann immer eine Datei gesendet wird, werden auch die Gerätedaten und die Geolokalisierung eines Anwenders gespeichert, die nicht verschwunden sind.
Ein weiteres Datenschutzproblem war der fehlende Brute-Force-Schutz bei Zugriffsversuchen auf die App-PIN.
Laut ESET enthielt Lovense Max eine Reihe von kontroversen“ Design-Entscheidungen, die die „Vertraulichkeit intimer Bilder, die ein Anwender mit einem anderen teilt, gefährden könnten.“
Dazu gehörte die Möglichkeit, Bilder herunterzuladen und an Dritte weiterzuleiten, ohne das Wissen oder die Zustimmung des ursprünglichen Besitzers, sowie das Vertrauen auf nur HTTPS und nicht auf Ende-zu-Ende-Verschlüsselung bei der Bildübertragung.
Während Anwender häufig Fantasienamen anlegen, verwendete die Lovense Max-App außerdem ihre – im Klartext gespeicherten – E-Mail-Adressen, um die Nachrichtenübermittlung zu erleichtern. Token, die öffentlich geteilt werden können, wurden ebenfalls mit wenigen Zahlen generiert und waren länger aktiv als behauptet, so dass sie anfällig für Brute-Force-Angriffe sein könnten, die zur Offenlegung von Informationen führen.
Lovense Max authentifizierte auch keine BLE-Verbindungen und war daher anfällig für die gleichen MiTM-Angriffe wie Jive. Ein fehlendes Zertifikats-Pinning in Firmware-Updates wurde in dem Bericht ebenfalls festgestellt.
Während Anwender häufig Fantasienamen anlegen, verwendete die Lovense Max-App außerdem ihre – im Klartext gespeicherten – E-Mail-Adressen, um die Nachrichtenübermittlung zu erleichtern. Token, die öffentlich geteilt werden können, wurden ebenfalls mit wenigen Zahlen generiert und waren länger aktiv als behauptet, so dass sie anfällig für Brute-Force-Angriffe sein könnten, die zur Offenlegung von Informationen führen.
Lovense Max authentifizierte auch keine BLE-Verbindungen und war daher anfällig für die gleichen MiTM-Angriffe wie Jive. Ein fehlendes Zertifikats-Pinning in Firmware-Updates wurde in dem Bericht ebenfalls festgestellt.
„Die Folgen von Datenschutzverletzungen in diesem Bereich können besonders verheerend sein, wenn die durchgesickerten Informationen die sexuelle Orientierung, sexuelle Verhaltensweisen und intime Fotos betreffen“, so ESET. „Da der Markt für Sexspielzeug immer weiter voranschreitet, müssen die Hersteller das Thema Cybersicherheit ganz oben auf der Agenda haben, denn jeder hat ein Recht darauf, sichere Technologie zu nutzen.“
ESET hat die Schwachstellen im Juni 2020 gegenüber der WOW Tech Group und Lovense offengelegt und die Sicherheitslücken wurden innerhalb weniger Wochen bestätigt. Lovense hat alle gemeldeten Fehler bis zum 27. Juli gepatcht, während die im August veröffentlichte We-Connect-Version 4.4.1 die PIN- und Metadaten-Probleme behoben hat. Lovense arbeitet nun an erweiterten Datenschutzfunktionen.
„Wir nehmen Berichte und Erkenntnisse von externen Quellen über mögliche Sicherheitslücken sehr ernst“, so die WOW Tech Group in einer Stellungnahme. „Wir hatten die Möglichkeit, die Schwachstellen vor der Präsentation und der Veröffentlichung dieses Berichts zu patchen und haben seitdem die We-Connect App aktualisiert, um die Probleme zu beheben, die in diesem Bericht beschrieben sind.“
„Da die Gesundheit und Sicherheit unserer Anwender an erster Stelle steht, arbeitet Lovense unermüdlich daran, die Cybersicherheit seiner Produkte und Softwarelösungen zu verbessern“, kommentierte Lovense. „Dank der produktiven Zusammenarbeit mit ESET Research Lab konnten wir einige Schwachstellen aufdecken, die erfolgreich beseitigt wurden. Lovense wird weiterhin mit Cybersecurity-Testern zusammenarbeiten, um maximale Sicherheit für alle Anwender von Lovense-Produkten zu gewährleisten.“
Quelle: Hackangriffe auf smarte Sexspielzeuge | ZDNet.de