image

Fabrikant IoT-seksspeeltjes lekte gevoelige klantgegevens

donderdag 1 februari 2018, 12:44 door Redactie, 4 reacties

Een Duitse fabrikant van Internet of Thing-seksspeeltjes had gevoelige klantgegevens niet goed beveiligd, waardoor aanvallers toegang hadden kunnen krijgen tot onversleutelde wachtwoorden, e-mailadressen, adresgegevens, chatgesprekken, vriendenlijsten, naaktfoto's en de seksuele geaardheid van klanten.

Ook was het mogelijk voor aanvallers om willekeurige IoT-seksspeeltjes op afstand, zowel via bluetooth als het internet en zonder toestemming van de eigenaar, te besturen zo meldt securitybedrijf SEC Consult. Het product in kwestie is de Vibratissimo "Panty Buster" van het bedrijf Amor Gummiwaren. Het seksspeeltje is op afstand via een smartphone-app te bedienen.

De app fungeert niet alleen als afstandsbediening, het biedt ook meerdere features om te communiceren en andere gebruikers te vinden. Zo is er een vriendenlijst, videochatfunctie, forum en de mogelijkheid om met andere gebruikers beelden uit te wisselen. Onderzoekers ontdekten acht kwetsbaarheden in de apparatuur en infrastructuur van het IoT-seksspeeltje.

In de webroot van vibratissimo.com werd een .DS_STORE bestand gevonden met de gebruikersnaam en het wachtwoord voor de database. Een aanvaller had zo gevoelige informatie kunnen achterhalen, waaronder afbeeldingen en adresgegevens Verder was de phpMyAdmin-installatie voor iedereen op internet toegankelijk en kon via het eerder achterhaalde wachtwoord worden benaderd. Het bedrijf bleek verder wachtwoorden onversleuteld op te slaan.

Wat betreft het IoT-seksspeeltje was het mogelijk om een ongeauthenticeerde bluetooth-verbinding op te zetten en zo het apparaat te besturen. Dit bleek ook mogelijk via het internet te zijn. De app biedt de mogelijkheid voor vrienden om het speeltje op afstand over te nemen. Door een gebrek aan authenticatie was het voor een aanvaller mogelijk om dit te doen. Na te zijn ingelicht zijn de grootste problemen door de fabrikant verholpen. De overige kwetsbaarheden worden uiterlijk in maart opgelost. Hieronder een videodemonstratie van de onderzoekers.

Image

Reacties (4)
01-02-2018, 13:00 door Anoniem
Dan ben je mooi genaaid.. ;-)
01-02-2018, 17:39 door Anoniem
Twijfel.. bij de inhoud

https://www.sec-consult.com/en/blog/advisories/multiple-critical-vulnerabilities-in-whole-vibratissimo-smart-sex-toy-product-range/index.html
During the evaluation a .DS_STORE file was found on the webserver of Amor Gummiwaren GmbH. A .DS_STORE file typically contains a listing of all the sub-directories in the current directory, including various different custom attributes for the OSX operating system. In this directory many subdirectories and files were identified.

Durf het bijna niet te opperen.
Maar ik heb de indruk dat men hier een vergissing maakt.
In die .DS_STORE wordt niet zoveel opgeslagen.

Wat wel een probleem oplevert op dragers als usb sticks e.d., is de automatisch aangemaakte (onzichtbare) ".Spotlight-V100" directory met subdirecories als "Store-V1", "Store-V2" en waarin dan bijvoorbeeld weer mappen zijn te vinden met al gauw 40 tot 70 bestanden waarvan sommigen inderdaad traces van handelingen, databases, trefwoorden, zoekopdrachten etc kunnen bevatten, en nog vrij veel ook maar het ziet er wat random uit altijd.

Dit laakbare gedrag van OSX is al jaren bekend ; dat gevaar van spotlight dat sporen nalaat op usb sticks en andere datadragers.
Apple doet er niets aan, en het enige dat je zelf kan doen is de drager toevoegen aan de uitsluitingslijst van indexatie onder de spotlight voorkeuren.

in de Os9 tijd was het nog wat hardnekkiger, dan werden dit soort sporen doodleuk meegebrand op elke willekeurige cd die je brandde, zat het in 1 van de 2 meegeleverde db / index bestanden op de cd.
Alstublief en dankuwel.

Maar dat .DS_STORE bestand bevat bij mijn weten alleen data met layout voorkeuren als kolomweergave of icoonweergave, sorterting op datum of bestandssoort etc.
Ik denk dat het om die ".Spotlight-V100" directory gaat die is meegekopieerd naar een server en niet zozeer een .DS_STORE bestand dat bedoeld is voor andere zaken.

Maar zij zijn de experts en zullen het wel zo ontdekt hebben, tenzij ze het toch onjuist hebben 'opgenoteerd'.


https://en.wikipedia.org/wiki/.DS_Store
01-02-2018, 17:44 door Anoniem
Weet niet hoe het met php is maar misschien moet je ook geen onzichtbare bestanden uploaden naar een webdirectory.
Kan je uitzetten in je upduckyproggie.
02-02-2018, 10:34 door -karma4
Door Anoniem: Durf het bijna niet te opperen.
Maar ik heb de indruk dat men hier een vergissing maakt.
In die .DS_STORE wordt niet zoveel opgeslagen.
...
Maar dat .DS_STORE bestand bevat bij mijn weten alleen data met layout voorkeuren als kolomweergave of icoonweergave, sorterting op datum of bestandssoort etc.

https://en.wikipedia.org/wiki/.DS_Store

Het zal weliswaar niet het normale gebruik van dat bestand zijn, maar dat neemt niet weg dat men het op de beschreven manier kan misbruiken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.