Kaum eine Industrie ist so eng mit technologischer Innovation verbunden wie die Sex-Branche: Pornografie hat in der Vergangenheit bereits (Datenträger)-Format-Kriege entschieden und wesentlich dazu beigetragen, das World Wide Web "geschäftstüchtig" zu machen. Kein Wunder also, dass auch Dildos, Vibratoren und Sextoys aller Art längst online sind und über Smartphone-Apps (fern)gesteuert werden können.
Diese Devices sind Teil des Internet of Things (IoT) und begründen dort eine eigene Subkategorie: das Internet of Dildos (IoD). Weitere Begrifflichkeiten für Devices, die zu diesem Vibratoren-Netzwerk gehören - Tele- oder auch Cyberdildonics - kamen bereits zum Frivolitäts-Klimax in den 1970er Jahren auf. Was damals feuchte Robotikträume waren, ist heute bei Amorelie, Eis und Co. sofort verfügbare Realität.
Doch da gibt es ein Problem. Und kein kleines: Über die Nicht-Sicherheit vieler "smarter" IoT-Gerätschaften wurde in der Vergangenheit oft berichtet. Wie eine aktuelle Untersuchung zeigt, bilden smarte Sextoys hierbei keine Ausnahme.
Gehackt per Dildo
Das auf Cybersecurity spezialisierte Beratungsunternehmen SEC Consult überprüft derzeit Sextoys verschiedener Hersteller auf ihre IT-Sicherheit, darunter auch Devices der Marke "Vibratissimo", deren Rechteinhaber die deutsche Amor Gummiwaren GmbH ist. Die Ergebnisse der Untersuchungen sollen die Basis für eine wissenschaftliche Arbeit liefern, die derzeit an der St. Pölten University of Applied Sciences entsteht. Die ersten Ergebnisse hat SEC kürzlich im Rahmen eines Blogposts veröffentlicht.
Und sie sind alles andere als erbaulich: die Vibratissimo-Sextoys hätten im Test "erhebliche Sicherheitslücken" aufgewiesen. Konkret geht es dabei um einen App-gesteuerten Aufliegevibrator namens "Panty Buster". Die Mobile Apps und Backend-Systeme kommen bei allen Geräten der Produktlinie zum Einsatz und stammen (ebenso wie Hard- und Software) von Zulieferern. Die zu den smarten Sextoys gehörenden Apps (iOS, Android) erlauben dabei nicht nur Remote-Verbindungen, sondern bieten ihren Nutzern zum Beispiel Freundeslisten, Videochats und (teilbare) Bildergalerien - die in der Regel für entsprechend explizite Zwecke genutzt werden.
Um es kurz zu machen: Die Datenbank mit sämtlichen Kundendaten (Bilder, Chatlogs, Daten zur sexuellen Orientierung, E-Mail-Adressen, Passwörter im Klartext) war laut SEC für Jedermann über das Internet abrufbar. Zudem habe eine Schwachstelle auch eine Remote-Inbetriebnahme durch Angreifer in Reichweite ermöglicht. Letztgenannte Angriffsmöglichkeit rechtfertigte der Hersteller gegenüber SEC Consult übrigens zunächst als Spezialfunktion für Swinger. Die hätten schließlich ein gesteigertes Interesse daran, dass möglichst viele Unbekannte ihren "Panty Buster" fremdsteuern - "Insecurity by design" also, von den Usern selbst eingefordert.
Wie ein Angreifer den Vibratissimo-Vibrator ganz einfach unter seine Kontrolle bringen könnte, zeigt folgendes Video:
Vibrator-Sicherheit mangelhaft
Wegen der Schwere der aufgedeckten Angriffsmöglichkeiten für kriminelle Hacker wurde seitens SEC auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hinzugezogen. Inzwischen hat der Hersteller der smarten Dildos und Vibratoren einige kritische Sicherheitslücken geschlossen: Das größte Problem - die unzureichend abgesicherte Datenbank - ist behoben und auch die Passwörter werden nun mit Hilfe eines Algorithmus' in Hash-Dateien umgewandelt und nicht mehr in Klartext vorgehalten. Bis Ende März 2018 sollen auch die übrigen, weniger gravierenden Sicherheitslücken in der Vibratissimo-Produktlinie beseitigt sein.
Betroffenen Nutzern empfiehlt SEC Updates auf die neueste Firmware-, beziehungsweise App-Version. Firmware-Updates können allerdings ausschließlich vom Hersteller durchgeführt werden und erfordern deswegen eine Einsendung des Geräts. Erst mit der Firmware-Version 2.0.2 ist es möglich, ein Passwort zu setzen, das den Zugriff auf die smarten Dildos und Vibratoren per App regelt.
Dabei ist Amor beileibe nicht der einzige Sextoy-Hersteller der von diesen und anderen Sicherheitslücken betroffen ist. SEC Consult nimmt derzeit smarte Sextoys weiterer Hersteller unter die Security-Lupe.