Smarte Sextoys - unbefriedigend in puncto Cybersecurity
Immer mehr Sexspielzeuge lassen sich mit Apps fernsteuern. Doch bei der Entwicklung der smarten Schnittstellen scheint die Sicherheit oft sträflich vernachlässigt zu werden, wie aktuelle Beispiele zeigen.
Schon längst sind auch Sextoys im smarten Zeitalter angelangt. Von Vibratoren, Keuschheitsgürtel und Co. gibt es immer mehr Modelle, die sich etwa via Smartphone-App fernsteuern lassen – vom Gerätebesitzer, einem selbst bestimmten Partner, aber leider auch oft von unbefugten Hackern.
Denn die Sicherheit der modernen Sexspielzeuge scheint bei manchen Herstellern nicht sehr hoch auf der Prioritätenliste zu stehen, wie eine Untersuchung von Eset zeigt. Das auf Sicherheitssoftware spezialisierte unternehmen dokumentiert in einer Mitteilung exemplarisch die Schwachstellen zweier Geräte.
Steuerung der Geräte übernehmen
Konkret handelt es sich um den Masturbator "Max" der Firma Lovense und das Vibra-Ei "Jive" von We-Vibe. Die Sicherheitslücken ähneln sich bei beiden Produkten. So warnt Eset etwa in beiden Fällen vor der Bluetooth-Schnittstelle der Sextoys. Da die Geräte ihre Anwesenheit via Bluetooth immer wieder signalisieren, lassen sie sich mit recht einfachen Mitteln auch orten.
Die Verbindung zwischen der App und dem Spielzeug erfolge zudem über die Bluetooth-Low-Energy-Pairing-Methode (BLE). Es sei "ohne Probleme möglich, den temporären Schlüsselcode, der von den Geräten während des Verbindungsaufbaus genutzt wird, zu verändern", schreibt Eset. Dadurch wiederum könnte sich ein Hacker in die Verbindung einklinken und die Gerätesteuerung übernehmen. Der Sicherheitsspezialist warnt in der Folge vor "möglichen körperlichen Schäden durch den Missbrauch der Geräte".
Intime Details sickern durch
Doch nicht nur die Geräte, sondern auch die dazugehörenden Smartphone-Apps wurden bezüglich ihrer Sicherheit schludrig umgesetzt. Grundsätzlich bestehe die Gefahr, mit gestohlenen Fotos, Chats oder anderen Daten erpresst zu werden.
So können sich We-Vibe-Nutzerinnen und -Nutzer etwa über die eingebaute Chatfunktion Multimediadateien zuschicken. "Es besteht die Gefahr, dass dabei auch Informationen über die genutzten Geräte und die genaue Geolocation geteilt werden", schreibt Eset.
Noch schlimmer ist es bei Lovense: In deren App gibt es laut der Mitteilung möglich, dass Bilder ohne Wissen des Besitzers an Dritte weitergeleitet werden. Ebenso haben gelöschte oder blockierte Nutzer weiterhin Zugriff auf den Chat-Verlauf und alle freigegebenen Multimedia-Inhalte. Schliesslich werfe auch die Verwendung von E-Mail-Adressen in den Benutzer-IDs der App einige Datenschutzbedenken auf, da die Adressen im Klartext für alle an einem Chat beteiligten Telefone freigegeben werden.
Kein neues Problem
Gemäss Eset haben die Hersteller der beiden Geräte die gemeldeten Schwachstellen mittlerweile geschlossen. Allerdings zieht das Unternehmen mit Entwicklern smarter Sextoys hart ins Gericht: "Bei den meisten aktuellen Sex-Spielzeugen wurde von den Herstellern der Sicherheitsaspekt sträflich vernachlässigt. Dies muss sich mit der Weiterentwicklung dieser Geräte dringend ändern", lassen sich Eset-Forscherinnen Denise Giusto und Cecilia Pastorino zitieren.
Es ist auch nicht das erste Mal, dass vor Sicherheitslücken in Sextoys gewarnt wird. Im Oktober dokumentierte etwa "Heise" gravierende Sicherheitsmängel beim Keuschheitsgürtel (oder Peniskäfigen) von Cellmate. Die BDSM-Toys übermittelten Nutzernamen und Passwörter im Klartext und konnten so von Hackern sehr leicht übernommen werden. Der Hersteller der Toys nahm sich ausserordentlich lange Zeit, um die API seiner Geräte abzusichern – und offenbar soll es tatsächlich zu Erpressungsversuchen gekommen sein.
Sexual Wellbeing gewinnt zusehends an Akzeptanz. Mit der Akzeptanz wächst auch die Verbreitung von Sextech-Geräten. Ausserdem sorgte der Lockdown dafür, dass die Verkaufszahlen rasant stiegen. Bis Ende dieses Jahres sollen rund 36 Millionen vernetzte Sextech-Geräte im Umlauf sein.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.