Internet Of Dildos: A Long Way To A Vibrant Future

vulnerability

Schwachstellen in Sexspielzeugen sind nicht nur aus technischer Sicht sehr interessant, sondern vor allem datenschutzrechtlich. Mehrere „Smart Sex“ Spielzeuge der Marke Vibratissimo und die dazugehörige Cloud Plattform waren von schwerwiegenden Schwachstellen betroffen.

Im Verlauf der Internet of Things (IoT) Forschung untersucht SEC Consult derzeit mehrere smarte Sex Toys. Die aktuelle Roadmap beinhaltet folgende Testgeräte:

  • Vibratissimo Panty Buster
  • MagicMotion Flamingo
  • Realov Lydia

Die Ergebnisse dieser Forschungsarbeit legen die Basis für eine Masterarbeit verfasst von Werner Schober in Kooperation mit SEC Consult und der Fachhochschule St. Pölten. Die ersten Ergebnisse können in der nachfolgenden Zusammenfassung und im Detail in unserem englischen Blogpost gefunden werden.

Mehrere „Smart Sex“ Spielzeuge der Marke Vibratissimo und die dazugehörige Cloud Plattform waren von schwerwiegenden Schwachstellen betroffenen. Die Herstellung der Geräte, sowie der Betrieb der Cloudplattform wird durch das deutsche Unternehmen Amor Gummiwaren GmbH verantwortet. Die Schwachstellen sind einerseits aus technischer Sicht sehr interessant, andererseits gilt es auch den datenschutzrechtlichen Aspekt nicht zu verachten. Einem Angreifer war es möglich hoch sensible Daten (wie sexuelle Orientierung, explizites Bildmaterial, Passwörter, Adressen etc.) unbeschränkt aus einer Datenbank auszulesen. Außerdem war es einem Angreifer möglich, ohne Zustimmung der Betroffenen die Geräte zu aktivieren und diese fernzusteuern. Dieser Angriffsvektor ist sowohl ausnutzbar, wenn sich ein Angreifer in der Nähe befindet (in Bluetooth Reichweite des Geräts) als auch über das Internet.

Des Weiteren ist es möglich, explizites Bildmaterial aufgrund eines schwachen Zufallsgenerators und fehlenden Authentisierungsmaßnahmen auszulesen.

Basierend auf den offiziellen Statistiken aus dem Google Play Store und dem Apple App Store, könnte eine sechsstellige Anzahl an Benutzern betroffen sein.

Es handelt sich nur um eine kleine Auswahl an Problemen und es wurden nur einige Schwachstellen des technischen Advisories hervorgehoben. Die gesamte Story kann in unserem englischsprachigen Blogpost nachgelesen werden.

Über den Autor

Werner Schober
SEC Consult
Senior Security Consultant

Er ist spezialisiert auf alles, was mit Infrastruktur zu tun hat. Tagsüber versucht er, die Netzwerke, Geräte und Appliances in Windows- und Unix-Umgebungen von Kunden sicherer zu machen. Nachts arbeitet er im SEC Consult Vulnerability Lab, um Zero-Day-Schwachstellen in einer breiten Produktpalette zu identifizieren.