35. Chaos Communication Congress (35C3)<\/a>.<\/p>\nDas deutsche Ger\u00e4t tr\u00e4gt den Namen Vibratissimo PantyBuster<\/em>. Es stellt eine Bluetooth-Verbindung zu einem Android- oder iOS-Smartphone her und wird \u00fcber eine spezielle App \u2013 entweder lokal oder ferngesteuert \u2013 \u00fcber ein weiteres Smartphone gesteuert. Die F\u00e4higkeiten der App sind jedoch deutlich weitreichender und umfassen im Grunde genommen ein vollwertiges soziales Netzwerk mit Gruppenchats (!), Fotogalerien (!!), Freundeslisten (!!!) und anderen Features.<\/p>\nSoftware: Nutzer von Sexspielzeug lernen sich kennen<\/h2>\n
Beginnen wir mit den Software-Schwachstellen<\/strong>. Das Stammverzeichnis der Vibratissimo-Website enthielt eine .DS_Store-Datei, im Wesentlichen eine Liste aller Ordner und Dateien in diesem Verzeichnis mit zus\u00e4tzlichen Einstellungen, die macOS erstellt, um Dateisymbole und Layout korrekt anzuzeigen. Werner konnte diese Datei entschl\u00fcsseln und auf diese Weise die Namen aller Ordner und Dateien des Stammverzeichnisses aufdecken.<\/p>\nVon besonderem Interesse war der CFG-Ordner, der eine gleichnamige Datei mit unverschl\u00fcsselten Login-Daten f\u00fcr den Zugriff auf die Datenbank enthielt. Werner konnte eine Schnittstelle finden, mit der er eine Verbindung zur Datenbank herstellen konnte, um die Anmeldeinformationen einzugeben und auf die privaten Daten<\/strong> aller Vibratissimo-Benutzer zuzugreifen<\/strong>, einschlie\u00dflich ihrer Benutzernamen und Passw\u00f6rter (die erneut ohne Verschl\u00fcsselung gespeichert waren) sowie Chats, Bilder und Videos. Welche Art von Chats und Bildern auf einem sozialen Netzwerk gefunden werden k\u00f6nnen, das auf einem Sexspielzeug basiert? Sie k\u00f6nnen es sich vermutlich denken.<\/p>\nEin weiteres Sicherheitsproblem<\/strong> folgte: Erstellt man eine Bildergalerie in der App, wird dieser Galerie eine individuelle ID zugewiesen. Um die Bilder aufrufen zu k\u00f6nnen, sendet die App zun\u00e4chst eine Anfrage, die eben diese ID enth\u00e4lt. Zu Testzwecken erstellte Werner eine Galerie mit zwei Katzenfotos, erhielt die entsprechende ID und kam dann auf die gloreiche Idee, die in der Anfrage enthaltene ID ganz einfach abzu\u00e4ndern. Das Ergebnis? Er konnte auf die Galerie eines anderen Nutzers zugreifen, die alles andere als s\u00fc\u00dfe Katzenbilder enthielt.<\/p>\nDar\u00fcber hinaus k\u00f6nnen Nutzer mit der App einen Quick-Control-Link erstellen, um das Ger\u00e4t aus der Ferne zu aktivieren, der dann mit anderen Usern geteilt werden kann (f\u00fcr Fernbeziehungen, usw.). Bei der Verwendung des Links, ist keinerlei Best\u00e4tigung erforderlich \u2013 ganz im Gegenteil, das Ger\u00e4t schaltet sich sofort ein. Des Weiteren enth\u00e4lt der Link eine ID. Und jetzt raten Sie mal, was passiert, wenn man diese ID beliebig austauscht? Genau! Das Ger\u00e4t eines anderen schaltet sich ein.<\/p>\n
Hinzu kommt, dass die App w\u00e4hrend der Authentifizierung beim Anmeldeprozess eine Anfrage mit dem unverschl\u00fcsselten Nutzernamen und Passwort im Klartext an den Server sendet. Das bedeutet, dass in einem \u00f6ffentlichen Netzwerk jeder diese Daten abfangen kann. Davon abgesehen gab es noch weitere Softwareschwachstellen, die jedoch nicht allzu gravierend waren. Daf\u00fcr gab es an anderen Stellen zahlreiche und vor allem schwerwiegende Probleme auf Transport- (im Sinne der Ger\u00e4tekommunikation) und Hardware-Ebene<\/strong>.<\/p>\nInterface: Verkn\u00fcpfung mit Fremden<\/h2>\n
Wie bereits erw\u00e4hnt, ist der Vibratissimo PantyBuster via Bluetooth mit einem Smartphone verbunden. Genauer gesagt verwendet das Ger\u00e4t die Funktechnik Bluetooth Low Energy, die zur Implementierung eine von f\u00fcnf Kopplungstechniken ber\u00fccksichtigt (Methode, um via Passkey-Technik eine Verbindung zwischen den Ger\u00e4ten herzustellen). Der auf dem Smartphone einzugebende Passkey kann auf dem Ger\u00e4t selbst eingegeben, auf dem Display angezeigt oder im Voraus festgelegt werden (dies kann beispielsweise 0 oder 1234 sein). Dar\u00fcber hinaus k\u00f6nnen Ger\u00e4te Passkeys via NFC austauschen<\/strong>, oder es kann schlichtweg keine individuelle Kopplung stattfinden.<\/p>\nDer PantyBuster hat weder eine Anzeige noch ist er NFC-f\u00e4hig; diese Optionen fallen daher von vorneherein weg. Zwei der verbleibenden Optionen sind geringf\u00fcgig sicher, aber die Ger\u00e4tehersteller scheinen \u201eEinfachheit\u201c besonders gro\u00df zu schreiben und haben sich daher f\u00fcr einen einfachen und unsicheren Ansatz entschieden: keine individuelle Kopplung. Das hei\u00dft, wenn jemand den Befehl zur Ger\u00e4teaktivierung kennt und sendet, vibrieren alle PantyBusters in Reichweite im Einklang. So kann jeder, der die App aktiviert hat, zum Beispiel durch die U-Bahn spazieren und jeden Ger\u00e4teinhaber, der zuf\u00e4llig mit seinem Spielzeug unterwegs ist, begl\u00fccken.<\/p>\n
Werner schrieb also ein simples Programm, das nach aktiven Bluetooth LE-Ger\u00e4ten in der Umgebung sucht, und diese, wenn es sich dabei um das fragw\u00fcrdige Sexspielzeug handelt, auf Hochtouren bringt. Falls es jemanden interessiert: Eine solche Handlung wird nach \u00f6sterreichischem Strafrecht nicht als Vergewaltigung angesehen. Im Strafgesetzbuch des Landes gibt es jedoch einen Absatz \u00fcber \u201eunerw\u00fcnschte sexuelle Handlungen\u201c, und in einigen anderen Regionen ist dies m\u00f6glicherweise auch der Fall.<\/p>\n
Hardware: Das steckt wirklich drin<\/h2>\n
Zum einen gibt es keine M\u00f6glichkeit, die Firmware zu aktualisieren<\/strong>. Dies kann lediglich der Hersteller selbst tun, nicht aber der Nutzer. Als der Hersteller \u00fcber Werners Forschungsergebnisse informiert wurde, machte dieser den Vorschlag, alle Nutzer zur Einsendung der Ger\u00e4te aufzufordern. Es ist jedoch relativ unwahrscheinlich, dass jemand ein gebrauchtes Sexspielzeug f\u00fcr ein Firmware-Update an den Hersteller zur\u00fccksendet.<\/p>\nZum anderen k\u00f6nnen im Innenleben des Ger\u00e4ts Schnittstellen gefunden werden, die der Hersteller zu Debugging-Zwecken verwendet hat und danach vergessen hat zu schlie\u00dfen. Diese Schnittstellen k\u00f6nnen zur Extrahierung und Analyse der Ger\u00e4tefirmware verwendet werden.<\/p>\n