Sexspielzeug verriet intime Daten und Passwörter
Der Panty Buster von Vibratissimo wird damit beworben, dass er bei Frauen „dezent und unsichtbar“ für lustvolle Momente im Alltag sorgen soll. Er wird im Slip auf der Klitoris platziert und kann anschließend per App ferngesteuert werden. 100 verschiedene Vibrationsprogramme stehen dabei zur Auswahl und wer möchte, kann auch eigene Rhythmen kreieren und diese per App mit Freunden teilen. Ebenfalls teilen lassen sich Bildergalerien, zudem ist in der App ein Video-Chat integriert.
Der Sicherheitsforscher Werner Schober von der Firma SEC Consult hat Panty Buster von Vibratissimo und die dazugehörige App im Zuge seiner Masterarbeit an der FH St. Pölten analysiert und ist dabei gleich auf mehrere gravierende Sicherheitsschwachstellen, die vor allem in Bezug auf die eigene Privatsphäre und Datenschutz, eine entscheidende Rolle spielen, gestoßen.
Kundendatenbank war frei im Netz
Schober hat dabei herausgefunden, dass die Kundendatenbank von Vibratissimo einfach über ein vorhandenes „.DS_STORE“-Datenbankfile und ein „phpMyAdmin“-Interface geknackt werden konnte. Das bedeutet: Die gesamten gespeicherten Daten aller Vibratissimo-App-Nutzer konnten eingesehen werden.
Im Fall des Panty Busters bedeutet das neben dem Usernamen, den Chat-Verläufen inklusive Zeitstempel und Inhalt, und den Passwörtern, die im Klartext gespeichert waren, auch den Zugang zu allen expliziten Bildergalerien, die die Nutzerinnen selbst aufgenommen und versendet hatten. Außerdem wäre es möglich gewesen auf die Freundesliste abzufragen sowie alle Informationen zum Nutzer selbst (echter Name, Adresse, etc.).
Sofortige Reaktion
SEC Consult hat den Hersteller „Vibratissimo“, der der deutschen Firma Amor Gummiwaren GmbH gehört, bereits im November 2017 über diese gravierenden Sicherheitsprobleme über das lokale CERT-Team in Deutschland informiert und auch die Rückmeldung bekommen, dass das File, mit dem Zugriff auf die Datenbank ermöglicht wurde, bereits am nächsten Tag entfernt worden sind. Das geht aus dem „Security Advisory“ von SEC Consult hervor. Das heißt, es ist jetzt kein Zugriff auf diese sensiblen, privaten Daten der Vibratissimo-Nutzerinnen mehr möglich.
Theoretisch waren jedoch laut den Download-Zahlen der App eine sechsstellige Zahl an Menschen betroffen und alle, die die App von Vibratissimo verwendet haben, sollten zu ihrer eigenen Sicherheit Vorkehrungen treffen. "Wir haben keine Anhaltspunkte oder Informationen des Herstellers, dass die Benutzerdaten durch Dritte entwendet wurden. Aus Sicherheitsgründen sollte das Passwort für die App jedenfalls geändert werden. Sollten Benutzer entgegen Best-Practice Empfehlungen das gleiche Passwort bei anderen Diensten einsetzen, sollte dieses dort ebenfalls geändert werden", rät Johannes Greil von SEC Consult.
Das Swinger-Club-Problem
Doch die Probleme waren nicht die Einzigen, die der Sicherheitsforscher entdeckt und im Zuge des „Responsible Disclosure“-Prozesses an den Hersteller gemeldet hatte. Beim Verbinden des Panty Buster mit der App ist eine Bluetooth-Verbindung notwendig. Hier setzt der Hersteller wie viele andere Hersteller von Sex-Toy-Apps auf die unsichere „No Pairing“-Variante. Das bedeutet, dass sich jeder, der in Reichweite des Vibrators ist, damit auch verbinden und ihn fernsteuern kann.
Aus Sicht der Sicherheitsforscher stellt dies eine Privatsphäre-Verletzung dar, doch im Zuge der Kommunikation mit dem CERT und dem Hersteller hat sich herausgestellt, dass dies durchaus auch als „Feature“ gesehen werden kann. Laut dem Hersteller möchten Menschen, die in Swinger-Clubs gehen, sich diese Möglichkeit bewusst offen halten. „Wir glauben, dass die Nutzergruppe, die sich diesem Feature bewusst ist, eher klein ist und dem größere Teil der Nutzer ist hingegen nicht bewusst, dass sein Sex-Toy von jedem aus der Ferne gesteuert werden kann“, heißt es in dem Blogposting von SEC Consult dazu.
Auch hier nachgebessert
Der Hersteller hat sich aufgrund von der Kommunikation mit SEC Consult dazu entschieden, auch hierfür eine Nachbesserung anzubieten. Dazu müssten Kunden und Kundinnen, die den Panty Buster erworben haben, das Gerät allerdings einschicken. Ein Update aus der Ferne ist hier nicht möglich, heißt es im Blogeintrag. Das sichere Passwort-Pairing wird in neuen Produkten als „Opt-In“ angeboten. „Aus IT-Security-Sicht müsste es aber umgekehrt sein - ein Opt-Out-Feature.“
Auch bei der App selbst gab es noch einige weitere Sicherheitsprobleme, die von den Forschern insgesamt aber als „weniger kritisch“ eingestuft wurden, weil sie in der Praxis schwerer auszunutzen sind. So könnte man etwa die „Unique ID“, die man zum Austausch mit Freunden benötigt, leicht erraten, weil eine generische Abfolge verwendet wird.
Viele Probleme
Panty Buster ist nicht das erste Sex-Toy, bei dem Sicherheitsmängel rund um Datenschutz- und Privatsphäre-Themen entdeckt worden waren. In den USA musste etwa der Hersteller We-Vibe insgesamt 3,75 Millionen US-Dollar Schadenersatz zahlen, weil die App des Vibrators Informationen darüber aufgezeichnet und an den Hersteller geschickt hatte, wie warm das Gerät gerade war und welcher Vibrationsmodus verwendet worden war. Eine App des Sexspielzeug-Herstellers Lovesense wiederum war dabei erwischt worden, dass sie ohne das Wissen der Nutzer Audiodateien des Akts auf dem Smartphone gespeichert hatte. Bei einem smarten Dildo der Firma Svakom Siime Eye war es hingegen möglich, dass die Bilder der eingebauten Kamera von Fremden mitverfolgt werden konnten.
Privatsphäre ist wichtig
"Wiederholte Sicherheitstests helfen den Herstellern, dass bei diesen Produkten das Sicherheitslevel erhöht wird", sagt Greil. Laut Aussagen von weiteren Sicherheitsforschern im Gespräch mit der futurezone scheinen die Hersteller von Sex-Toys aber im Gegensatz zu manch anderen Branchen mit Ernsthaftigkeit an das Problem herangehen und die gröbsten Probleme relativ rasch beheben. Diese Erfahrung hat auch Schober gemacht, der seine Untersuchungen im Zuge seiner Master Thesis auch bei anderen Herstellern und Produkten fortsetzen wird. Es bleibt also zu hoffen, dass die Sex-Toy-Branche die Privatsphäre ihrer Nutzer ernst nimmt.