Een Duitse fabrikant van Internet of Thing-seksspeeltjes had gevoelige klantgegevens niet goed beveiligd, waardoor aanvallers toegang hadden kunnen krijgen tot onversleutelde wachtwoorden, e-mailadressen, adresgegevens, chatgesprekken, vriendenlijsten, naaktfoto's en de seksuele geaardheid van klanten.
Ook was het mogelijk voor aanvallers om willekeurige IoT-seksspeeltjes op afstand, zowel via bluetooth als het internet en zonder toestemming van de eigenaar, te besturen zo meldt securitybedrijf SEC Consult. Het product in kwestie is de Vibratissimo "Panty Buster" van het bedrijf Amor Gummiwaren. Het seksspeeltje is op afstand via een smartphone-app te bedienen.
De app fungeert niet alleen als afstandsbediening, het biedt ook meerdere features om te communiceren en andere gebruikers te vinden. Zo is er een vriendenlijst, videochatfunctie, forum en de mogelijkheid om met andere gebruikers beelden uit te wisselen. Onderzoekers ontdekten acht kwetsbaarheden in de apparatuur en infrastructuur van het IoT-seksspeeltje.
In de webroot van vibratissimo.com werd een .DS_STORE bestand gevonden met de gebruikersnaam en het wachtwoord voor de database. Een aanvaller had zo gevoelige informatie kunnen achterhalen, waaronder afbeeldingen en adresgegevens Verder was de phpMyAdmin-installatie voor iedereen op internet toegankelijk en kon via het eerder achterhaalde wachtwoord worden benaderd. Het bedrijf bleek verder wachtwoorden onversleuteld op te slaan.
Wat betreft het IoT-seksspeeltje was het mogelijk om een ongeauthenticeerde bluetooth-verbinding op te zetten en zo het apparaat te besturen. Dit bleek ook mogelijk via het internet te zijn. De app biedt de mogelijkheid voor vrienden om het speeltje op afstand over te nemen. Door een gebrek aan authenticatie was het voor een aanvaller mogelijk om dit te doen. Na te zijn ingelicht zijn de grootste problemen door de fabrikant verholpen. De overige kwetsbaarheden worden uiterlijk in maart opgelost. Hieronder een videodemonstratie van de onderzoekers.
Deze posting is gelocked. Reageren is niet meer mogelijk.