Alvorlig sikkerhedsbrist fundet i sexlegetøj

Vibratissimo Panty Buster Illustration: vibratissimo.com
Tysk sexlegetøj har ifølge en rapport fra et sikkerhedsfirma været meget sårbart for cyberangreb. Det har været muligt at indsamle personlige kundedata samt kontrollere produkterne uden brugerens tilladelse.

Vibratissimo “Panty Buster” er et produkt til klitorisstimulering. Men ifølge en sikkerhedstest fra det tyske sikkerhedsfirma SEC Consult har det været let for en potentiel angriber at tage kontrol over enheden samt få adgang til kundedata af meget privat karakter, dette omfatter billeder, chat logs, sexuel orientering, email-adresse og kodeord.

Sårbar vibrator-app

I webroden af Vibratissimo.com har det været muligt at finde en .DS_STORE fil som igen afslørede en config mappe med brugernavn og kodeord til hele kundedatabasen.

Med brugernavn og kodeord har det været muligt at få adgang til en undermappe i SQLdatabasen, her lå en installation til administration, denne var fuldt tilgængelig og ikke beskyttet af yderliger sikkerhedsforanstaltninger. Derigennem var alle kundedata tilgængelige.

Det har dermed været muligt at få adgang til billeder, vennelister, chathistorik samt brugerens navn, hjemmeadresse samt kodeord. At kodeord var tilgængeligt er yderliger problematisk, da mange genbruger samme kodeord i mange forskellige systemer.

Læs også: Bluetooth-vibrator optog under sex: Producent bag kalder det ‘en lille bug’

Villig og ufrivillig stimulans

Produktet er designet til, at en smartphone via bluetooth kobles op på vibratoren, dermed kan vibrationsmønstre kontrolleres fra smartphonen. Dette har ikke krævet pairing, derfor har alle i bluetooth afstand kunnet aktivere produktet.

Ifølge producenten Amor Gummiwaren GmbH har dette været en eftertragtet feature i swingerklubber, hvor det har været brugt til at give andre kontrol over ens vibrator. Desværre er det også en sikkerhedsbrist, som har gjort det muligt for en angriber at starte produkterne uden brugerens samtykke.

Ifølge Claudia Juhn, som arbejder for Amor Gummiwaren og har ansvaret for Vibravissimo, er alle de fundne sikkerhedshuller lukket. Pairing autentifikation en er nu mulig med en firmwareopgradering, som man kan få installeret ved at indsende sit produkt Amor Gummiwaren.

Generelt problem ved Internet-of-Dildoes

Ifølge SEC Rapporten har dette sikkerhedshul også omfattet adskillige andre produkter bla. Lovense Hush, OhmiBod, MysteryVibe, Kiiroo Fleshlight, Lelo, Lovense Nora & Max.

Ifølge statistik fra Google Play Store og Apple Appstore har mindst 50000 brugere downloaded Vibratissimos app og derfor været sårbare.

I denne video forklarer SEC Consult mere om sikkerhedsbristen

Rapporten kan findes her

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere