Penetrationstest

St. Pöltner Student kapert vernetztes Sexspielzeug

Digital
02.02.2018 09:31

Ein Student der Fachhochschule St. Pölten hat ein ungewöhnliches Thema für seine Masterarbeit gewählt: das „Internet of Dildos“. Konkret hat sich Werner Schober vom Studiengang Computer Science & Security vorgenommen, vernetztes Bluetooth-Sexspielzeug auf seine Sicherheit zu testen. Die ersten Ergebnisse liegen bereits vor – und stellen den Herstellern solcher Gerätschaften kein gutes Zeugnis aus.

Für seine Masterarbeit untersucht Schober in Zusammenarbeit mit der Unternehmensberatung SEC Consult vernetztes Sexspielzeug verschiedener Hersteller. Mit der Sicherheitsanalyse eines Bluetooth-Vibrationsgeräts namens Vibratissimo Panty Buster ist der Student bereits fertig – und die Ergebnisse sprechen nicht unbedingt für ein ausgeprägtes Sicherheitsbewusstsein beim Hersteller.

Begleit-App vernetzt Sextoy-Nutzer
Wie SEC Consult in einem Zwischenbericht ausführt, handelt es sich bei dem Gerät nicht einfach nur um ein Sexspielzeug mit Bluetooth-Verbindung. Über eine zugehörige Begleit-App können die Nutzer auch miteinander interagieren, chatten und sich Bilder und Videos senden.

Bei der Untersuchung wurde entdeckt, dass eine Datenbank voll sensibler Kundendaten im Grunde für jedermann online zugänglich war. Außerdem ließ sich das Gerät in Bluetooth-Reichweite, aber sogar über das Internet fernsteuern – und zwar ohne Zustimmung des Nutzers. Es soll sogar möglich gewesen sein, explizite Bilder einzelnen Nutzern zuzuordnen.

Nutzerdaten waren schlecht gesichert
Offenbar war die online zugängliche Nutzerdatenbank unzureichend abgesichert. Ein Angreifer hätte sich somit Zugriff auf die Datenbank verschaffen und die im Klartext gespeicherten Passwörter der Vibratissimo-Nutzer auslesen können. Damit hätte er dann wiederum Zugriff auf Fotos, Freundeslisten und andere sensible Daten gehabt.

Nachdem der Hersteller darauf hingewiesen wurde, wurden die gröbsten Schwachstellen geschlossen. Doch manche Probleme bleiben – etwa, dass der Verbindungsaufbau zu dem Gerät keine Bluetooth-Authentifizierung erfordert. Der Hersteller hat hier zwar ein Firmware-Update programmiert. Um es aufzuspielen, müssen die User ihre Geräte allerdings einschicken, was vermutlich nur ein kleiner Teil tatsächlich tun wird.

Hersteller: Swinger wollen keine PIN-Codes
Die bereits in Umlauf befindlichen Exemplare des Vibratissimo Panty Buster bleiben somit angreifbar und erlauben Personen in Bluetooth-Reichweite, sich mit dem Gerät zu verbinden und es fernzusteuern. Als Schober und SEC Consult den Hersteller auf diese Lücke hinwiesen, erhielten sie eine interessante Antwort.

Dass keine Authentifizierung nötig ist, sei beabsichtigt und entspreche den Kundenwünschen. Es gebe eine Nutzergruppe, die es gerne hat, wenn das Gerät von Fremden gesteuert werde: Swinger. Der Autor der Arbeit wirft allerdings ein, dass es sich bei dieser Gruppe wohl um eine Minderheit handle und wohl kaum jeder Nutzer eine Verbindung ohne Authentifizierung gutheiße.

Sechsstellige Zahl von Nutzern betroffen
Die Zahl der potenziell von solchen Sicherheitsproblemen Betroffenen ist größer, als man glauben würde. Laut Download-Zahlen in den einschlägigen App Stores nutzt eine sechsstellige Zahl von Smartphone-Nutzern den Panty Buster oder ähnliche Vibratissimo-Geräte. In der Vergangenheit wurden zudem auch bei anderen derartigen Produkten immer wieder teils gravierende Schwachstellen entdeckt.

Grund genug für Schober, dem Thema bis auf weiteres treu zu bleiben: Die Recherchen für seine Masterarbeit dauern an und er hat noch einige andere Geräte des „Internet of Dildos“ am Radar, die er einem Penetrationstest unterziehen will. Gut möglich, dass er weitere Lücken findet.

 krone.at
krone.at
Loading...
00:00 / 00:00
play_arrow
close
expand_more
Loading...
replay_10
skip_previous
play_arrow
skip_next
forward_10
00:00
00:00
1.0x Geschwindigkeit
explore
Neue "Stories" entdecken
Beta
Loading
Kommentare

Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.

Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.

Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.

(Bild: krone.at)
(Bild: krone.at)
Kreuzworträtsel (Bild: krone.at)
(Bild: krone.at)



Kostenlose Spiele