Wenn die Kontrolle im Schritt verloren geht…

Im Smart Home gibt es wichtige, nützliche und praktische Dinge, aber auch viele überflüssige. Dazu gibt es auch Dinge, die mit WLAN nur vermeintlich besser werden. Zu denen zählen auch einige smarte Sexspielzeuge (Love Toys), wozu auch der smarte Keuschheitsgürtel Cellmate (Zellengenosse) gehört.

Was sich eher lustig anhört, kann aber auch zum Albtraum werden, schließlich geht es dabei um das männliche Geschlechtsteil, und da verstehen viele keinen Spaß.

Das hält so manchen technikaffinen und devoten Abenteuerlustigen aber nicht davon ab, sein Liebesleben mit smarten Sexspielzeugen aufzupeppen und, wenn es schlecht läuft, sein „bestes Stück“ in fremde Hände zu geben – und das sind dann nicht die Hände des Partners.

Die Folgen können dabei durchaus schmerzhaft sein, wenn der Penis plötzlich und unerwartet von Erpressern gefangen genommen wird.

Das Opfer kann dagegen erst einmal gar nichts machen. Die Angreifer senden eine Erpresserbotschaft in die dazugehörige App und verlangen für die Entsperrung des Gerätes 0,02 Bitcoin (ca. 630 Euro). Darauf stießen die Sicherheitsforscher von Security Report und und verfassten einen Bericht dazu.

Uneinsichtiger Hersteller machte Veröffentlichung notwendig

Der Keuschheitsgürtel Cellmate wird für günstig erscheinende 200 Dollar angeboten, ist aber trotz des günstigen Preises aktuell ausverkauft. Dummerweise ist die entsprechende API (Programmierschnittstelle) so lasziv programmiert, dass Dritte dazu auch noch intime Daten, also nicht die Größe des Teils, sondern Name, Telefonnummer, Emailadresse, Geburtsdatum und sogar den Standort der App problemlos abfragen konnten.

Das ist im Grunde sehr einfach: Dazu braucht man nur einen Mitgliedscode, der aus dem erstmaligen Anmeldedatum generiert wird oder einen sechsstelligen Freundescode. Weil diese Codes leicht zu erraten sind, kann ein Eindringling die Datenbank nach Angaben von Pentestpartners innerhalb von ein paar Tagen komplett auslesen.

Internet of Dongs hat die gefundene Sicherheitslücke schon vor längerem an den Anbieter Qiui weitergeleitet, worauf der Hersteller im Juni mit einer neuen API reagierte. Diese geänderte Software entschärft zwar einen Teil der Probleme, aber laut Internet of Dongs wirkt sich die neue Schnittstelle leider nicht auf Geräte aus, die bisher noch nicht aktualisiert wurden und deshalb noch mit der alten API laufen. Zurzeit soll der Hersteller von Cellmate an einer dritten Version dieser API arbeiten, die dann weitere Probleme beseitigen soll.

Das Problem wurde erst jetzt öffentlich gemacht, weil sich Internet of Dongs gezwungen sah, den Druck auf den Hersteller zu erhöhen. Denn weder war die Kommunikation mit Qiui besonders zuverlässig noch zeigte der Hersteller angemessenes Interesse an der zügigen Beseitigung der Sicherheitslücke.

Screenshots: Cellmate

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, News, Programmierung, Sicherheit, Soziales abgelegt und mit , , , , , , , , , , , , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.