Fr, 23. Februar 2018

Penetrationstest

02.02.2018 09:31

St. Pöltner Student kapert vernetztes Sexspielzeug

Ein Student der Fachhochschule St. Pölten hat ein ungewöhnliches Thema für seine Masterarbeit gewählt: das „Internet of Dildos“. Konkret hat sich Werner Schober vom Studiengang Computer Science & Security vorgenommen, vernetztes Bluetooth-Sexspielzeug auf seine Sicherheit zu testen. Die ersten Ergebnisse liegen bereits vor – und stellen den Herstellern solcher Gerätschaften kein gutes Zeugnis aus.

Für seine Masterarbeit untersucht Schober in Zusammenarbeit mit der Unternehmensberatung SEC Consult vernetztes Sexspielzeug verschiedener Hersteller. Mit der Sicherheitsanalyse eines Bluetooth-Vibrationsgeräts namens Vibratissimo Panty Buster ist der Student bereits fertig – und die Ergebnisse sprechen nicht unbedingt für ein ausgeprägtes Sicherheitsbewusstsein beim Hersteller.

Begleit-App vernetzt Sextoy-Nutzer
Wie SEC Consult in einem Zwischenbericht ausführt, handelt es sich bei dem Gerät nicht einfach nur um ein Sexspielzeug mit Bluetooth-Verbindung. Über eine zugehörige Begleit-App können die Nutzer auch miteinander interagieren, chatten und sich Bilder und Videos senden.

Bei der Untersuchung wurde entdeckt, dass eine Datenbank voll sensibler Kundendaten im Grunde für jedermann online zugänglich war. Außerdem ließ sich das Gerät in Bluetooth-Reichweite, aber sogar über das Internet fernsteuern – und zwar ohne Zustimmung des Nutzers. Es soll sogar möglich gewesen sein, explizite Bilder einzelnen Nutzern zuzuordnen.

Nutzerdaten waren schlecht gesichert
Offenbar war die online zugängliche Nutzerdatenbank unzureichend abgesichert. Ein Angreifer hätte sich somit Zugriff auf die Datenbank verschaffen und die im Klartext gespeicherten Passwörter der Vibratissimo-Nutzer auslesen können. Damit hätte er dann wiederum Zugriff auf Fotos, Freundeslisten und andere sensible Daten gehabt.

Nachdem der Hersteller darauf hingewiesen wurde, wurden die gröbsten Schwachstellen geschlossen. Doch manche Probleme bleiben – etwa, dass der Verbindungsaufbau zu dem Gerät keine Bluetooth-Authentifizierung erfordert. Der Hersteller hat hier zwar ein Firmware-Update programmiert. Um es aufzuspielen, müssen die User ihre Geräte allerdings einschicken, was vermutlich nur ein kleiner Teil tatsächlich tun wird.

Hersteller: Swinger wollen keine PIN-Codes
Die bereits in Umlauf befindlichen Exemplare des Vibratissimo Panty Buster bleiben somit angreifbar und erlauben Personen in Bluetooth-Reichweite, sich mit dem Gerät zu verbinden und es fernzusteuern. Als Schober und SEC Consult den Hersteller auf diese Lücke hinwiesen, erhielten sie eine interessante Antwort.

Dass keine Authentifizierung nötig ist, sei beabsichtigt und entspreche den Kundenwünschen. Es gebe eine Nutzergruppe, die es gerne hat, wenn das Gerät von Fremden gesteuert werde: Swinger. Der Autor der Arbeit wirft allerdings ein, dass es sich bei dieser Gruppe wohl um eine Minderheit handle und wohl kaum jeder Nutzer eine Verbindung ohne Authentifizierung gutheiße.

Sechsstellige Zahl von Nutzern betroffen
Die Zahl der potenziell von solchen Sicherheitsproblemen Betroffenen ist größer, als man glauben würde. Laut Download-Zahlen in den einschlägigen App Stores nutzt eine sechsstellige Zahl von Smartphone-Nutzern den Panty Buster oder ähnliche Vibratissimo-Geräte. In der Vergangenheit wurden zudem auch bei anderen derartigen Produkten immer wieder teils gravierende Schwachstellen entdeckt.

Grund genug für Schober, dem Thema bis auf weiteres treu zu bleiben: Die Recherchen für seine Masterarbeit dauern an und er hat noch einige andere Geräte des „Internet of Dildos“ am Radar, die er einem Penetrationstest unterziehen will. Gut möglich, dass er weitere Lücken findet.

 krone.at
Redaktion
krone.at
Das könnte Sie auch interessieren
Kommentar schreiben

Sie haben einen themenrelevanten Kommentar? Dann schreiben Sie hier Ihr Storyposting! Sie möchten mit anderen Usern Meinungen austauschen oder länger über ein Thema oder eine Story diskutieren? Dafür steht Ihnen jederzeit unser krone.at-Forum, eines der größten Internetforen Österreichs, zur Verfügung. Sowohl im Forum als auch bei Storypostings bitten wir Sie, unsere AGB und die Netiquette einzuhalten!
Diese Kommentarfunktion wird prä-moderiert. Eingehende Beiträge werden zunächst geprüft und anschließend veröffentlicht.

Kommentar schreiben
500 Zeichen frei
Kommentare
324

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Für den Newsletter anmelden