Es gibt wichtige Dinge, nützliche, praktische und auch viele überflüssige – und es gibt Dinge, die mit WLAN vermeintlich besser werden. Dazu gehören auch einige smarte Liebes-Toys mit horrenden Preisen, unter denen der smarte Keuschheitsgürtel Cellmate zu finden ist. Neben sensiblen Daten hat das Phallus-Gefängnis aber auch noch einen anderen Haken – und keine Hintertür.
Was sich lustig anhört, ist es auch. Allerdings geht es um das männliche Geschlechtsteil, und da verstehen nur die wenigsten Spaß. Das scheint einige technikaffine und devote Abenteuerlustige allerdings nicht davon abzuhalten, das Liebesleben im Schlafzimmer mit smarten Sexspielzeugen aufzupeppen und ihr bestes Stück im Zweifel in fremde Hände zu geben – und zwar nicht die des Partners. Die Folgen können dabei nicht nur in Bezug auf personenbezogene Daten schmerzhaft sein.
Keuschheitsgürtel gone wrong
Worum es geht? Das chinesische Unternehmen Qiui bietet einen smarten Keuschheitsgürtel namens Cellmate für Männer an. Mit dessen Hilfe lässt sich das beste Stück hinter Schloss und Riegel bringen. Der Kick dabei: Die Vertrauensperson bestimmt über Kommen und Gehen, indem sie einen entsprechenden Befehl absetzt, der eigentlich nur über den Server des Herstellers an die zum Cellmate gehörende App und anschließend per Bluetooth an den Keuschheitsgürtel übertragen werden kann. Eigentlich.
Die Sicherheitsfirma „Pentestpartners“ und das Projekt mit dem vertrauenswürdigen Namen „Internet of Dongs“ haben das Konzept gemeinsam getestet. Vertrackt: Sie konnten nicht nur die sensiblen Nutzerdaten auslesen, sondern auch die Kontrolle über den Gürtel und somit den zu Unrecht verknackten Johannes des Besitzers erlangen. Sollte das in der freien Wildbahn passieren, könnte es vermutlich zu ungeahnten Höhe- oder auch Tiefpunkten beim Akt führen. Alles abhängig von den Vorlieben des Trägers. Das ganz große Problem: Das Teil lässt sich in dem Fall dann nur noch mit einem Winkelschleifer oder ähnlichen Werkzeugen öffnen.
Mangelnde Einsicht des Herstellers machte Veröffentlichung notwendig
Der Cellmate wird für schnäppchenhaft anmutende 200 Dollar angeboten, ist aber trotzdem ausverkauft*. Die entsprechende API ist allerdings so lasziv programmiert, dass auch Dritte personenbezogene Daten wie Name, Telefonnummer, E-Mail-Adresse, Geburtsdatum sowie den Standort der App ohne große Schwierigkeiten abfragen konnten. Wie das geht? Dafür ist nur ein Mitgliedscode, der auf dem erstmaligen Anmeldedatum basiert, oder ein sechsstelliger Freundescode notwendig. Da diese Codes unschwer zu erraten sind, kann ein Eindringling die Datenbank laut Pentestpartners innerhalb weniger Tage komplett auslesen.
Internet of Dongs hat die gefundene Sicherheitslücke an Qiui schon vor längerem weitergeleitet, worauf der Hersteller im Juni eine neue API entwickelt hat. Die macht einen Teil der Probleme unschädlich. Laut Internet of Dongs wirkt sich die neue Schnittstelle jedoch nicht auf Geräte aus, die bisher nicht aktualisiert wurden und noch mit der alten API laufen. Soweit bekannt arbeitet der Hersteller von Cellmate an einer dritten Version der API, die weitere Probleme beheben soll. Die Problematik wurde erst jetzt an die Öffentlichkeit gebracht, da sich Internet of Dongs gezwungen sah, mehr Druck auf den Hersteller auszuüben. Anscheinend war weder die Kommunikation mit Qiui besonders zuverlässig noch hatte der Hersteller ein großes Interesse an der schnellen Beseitigung der Sicherheitslücke.
Hersteller hat langen Tragezeitraum einkalkuliert
Immerhin: Der Cellmate ist laut Hersteller für einen Langzeittest am lebendigen Objekt geeignet und nach IPX7 wassergeschützt. Duschen sollte sich damit genauso wie das kleine Geschäft erledigen lassen. Außerdem gibt es den Käfig sogar in zwei Größen. Einen Morgen mit unkontrollierten Emotionen möchte ich mir jedoch nicht ausmalen.
Es ist schließlich nicht das erste Mal, dass Smart-Home-Geräte mit schludrigen Sicherheitsmerkmalen auffällig werden. Dabei geht es nicht nur um hochsensible Daten, sondern auch um die Gesundheit des Nutzers. Mehr und mehr smarte Geräte für das Schlafzimmer werden zudem mit Kameras ausgestattet, was sich meinem Verständnis irgendwie entzieht – zumindest, solange man kein Geld damit verdienen möchte.
Letztendlich ist es dem Nutzer überlassen und man sollte sich über die Gefahren im Klaren sein, da es sowieso keine garantierte Sicherheit bei WiFi-basierten Geräten geben kann. Oder seht ihr die Schuld eher beim Hersteller? Schreibt uns eure Meinung in den Kommentarbereich.
Zum Shop: Smart Home
via Golem
Quelle: Pentestpartners, Internet of Dongs
Bilder: Cellmate
*Stand: 10/2020