So, 19. November 2017

Erstaunlich unsicher

02.10.2017 10:46

So schnell kapern Hacker Bluetooth-Sexspielzeug

IT-Sicherheitsprüfer der britischen Firma Pen Test Partners haben bei der Untersuchung intelligenter Sexspielzeuge festgestellt, dass die Hersteller trotz der Schlagzeilen der vergangenen Monate immer noch nachlässig bei der Sicherheit ihrer Produkte sind. Wer zu Geräten wie dem vernetzten "Butt Plug" Lovense Hush eine Bluetooth-Verbindung aufbauen wolle, brauche dafür oft nicht einmal einen PIN oder ein Passwort, klagen die Forscher.

Vernetztes Sexspielzeug sollte eigentlich möglichst diskret und sicher gestaltet werden, möchte man meinen. Tatsächlich sei es aber voller Sicherheitslücken, berichtet das britische IT-Portal "The Register" unter Berufung auf Pen Test Partners. Viele Geräte - etwa der angesprochene Lovense Hush - verkünden ihre Anwesenheit via Bluetooth, geben sich also freiwillig als Ziel zu erkennen.

Da verwundert es nicht, dass die Forscher bei einem Spaziergang in Berlin mit ihrem Bluetooth-Scanner eine ganze Reihe vernetzter Sexspielzeuge von Lovense in den Häusern entlang der Route entdeckten. Hätten sie die Geräte kapern wollen, wäre es ihnen ein Leichtes gewesen.

Keine oder extrem leicht zu erratende PIN-Codes
Die Sicherheitsvorkehrungen, die Hersteller ihren vernetzten Sexspielzeugen spendieren, sind nämlich äußerst schwach. Die allermeisten Geräte seien nicht ausreichend mittels PIN oder Passwort gesichert, kritisieren die Forscher. Und wenn doch, dann kämen einfach zu erratende Standard-PINs wie 0000 oder 1234 zum Einsatz.

Die Forscher: "Das Problem ist, dass es keine Benutzeroberfläche gibt, um einen Bluetooth-Pairing-PIN einzugeben. Wo soll man auch auf einem Butt Plug ein Interface platzieren?" Der einzige Schutz der Geräte sei, dass der genutzte Bluetooth-Standard Bluetooth Low Energy eine eingeschränkte Reichweite habe und man immer nur ein Gerät damit verbinden könne.

"Das kann eine riesige Demütigung sein"
Das Risiko, das von den vernetzten Sexspielzeugen ausgehe, bestehe damit gar nicht unbedingt während der Nutzung, sondern in allen möglichen anderen Situationen. Ein Hacker könnte etwa einen in der Handtasche mitgeführten "Hush-Motor auf Höchstgeschwindigkeit stellen. Solang der Angreifer damit verbunden bleibt, gibt es keine Möglichkeit, die Vibration zu stoppen", warnen Pen Test Partners. "Wenn ein Erwachsenenspielzeug unverhofft zu vibrieren anfängt, kann das in einigen Situationen eine riesige Demütigung sein", so die Forscher.

Das Problem mit der unzureichenden Sicherheit kann allerdings mehr als nur peinlich werden. Schlecht gesicherte Bluetooth-Verbindungen sind keine Domäne vernetzter Sexspielzeuge. Alex Lomas, einer der Forscher von Pen Test Partners, hat ähnliche Schwachstellen auch im Bluetooth-fähigen Hörgerät seines Vaters entdeckt. "Diese Dinger kosten 3500 Pfund und müssen von einem Ohrenarzt programmiert werden. Hier kann ein Hacker also nicht nur das Gehör schädigen, sondern das kann auch richtig teuer werden."

 krone.at
Redaktion
krone.at
Das könnte Sie auch interessieren
Kommentar schreiben

Sie haben einen themenrelevanten Kommentar? Dann schreiben Sie hier Ihr Storyposting! Sie möchten mit anderen Usern Meinungen austauschen oder länger über ein Thema oder eine Story diskutieren? Dafür steht Ihnen jederzeit unser krone.at-Forum, eines der größten Internetforen Österreichs, zur Verfügung. Sowohl im Forum als auch bei Storypostings bitten wir Sie, unsere AGB und die Netiquette einzuhalten!
Diese Kommentarfunktion wird prä-moderiert. Eingehende Beiträge werden zunächst geprüft und anschließend veröffentlicht.

Kommentar schreiben
500 Zeichen frei
Kommentare
324

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Für den Newsletter anmelden