image

Smart seksspeeltjes waren door kwetsbaarheden over te nemen

donderdag 11 maart 2021, 14:49 door Redactie, 7 reacties

Twee populaire smart seksspeeltjes waren door kwetsbaarheden over te nemen, zo ontdekten onderzoekers van antivirusbedrijf ESET. Het gaat om de Max Masturbator van Lovense en de Jive van We-Vibe, een "vibratie eitje". Beide apparaten zijn via een app te bedienen en via bluetooth te benaderen.

Voor het pairen via bluetooth maken beide apparaten gebruik van de "Just Works" methode. Tijdens de eerste fase van het pairen wissen de Jive en smartphone informatie uit om de bluetooth-verbinding op te kunnen zetten. Deze uitwisseling is niet versleuteld. Tijdens de tweede fase worden er keys uitgewisseld. In het geval van de gebruikte methode wordt er een tijdelijke key gebruikt met de waarde 0. Op basis hiervan wordt vervolgens de waarde van de short-term key gegenereerd.

Deze methode is kwetsbaar voor man-in-the-middle-aanvallen, doordat elke apparaat in de buurt verbinding kan maken door 0 als tijdelijke key te gebruiken. "Dit houdt in dat de Jive en Max automatisch verbinding met elke mobiele telefoon, tablet of computer maken die hierom vragen, zonder dat er enige verificatie of authenticatie plaatsvindt", aldus de onderzoekers. In het geval van de Jive kan een aanvaller zo het apparaatje overnemen en commando's die de gebruiker verstuurt aanpassen.

Ook is het via een bluetooth-scanner mogelijk om op een afstand van acht meter te zien of iemand een Jive draagt. De Jive-app biedt ook de mogelijkheid om foto's te versturen. De onderzoekers ontdekten dat elke keer dat gebruikers een foto naar een andere telefoon sturen, ze mogelijk ook informatie over hun apparaten en hun exacte locatie verzenden.

De app om de Max mee te besturen maakt gebruik van vrij korte tokens met weinig mogelijke combinaties. De server biedt daarnaast geen bescherming tegen bruteforce-aanvallen, waardoor een aanvaller het token kan achterhalen om de Max mee te besturen.

Verder blijkt dat de Max-app de mogelijkheid biedt om afbeeldingen door te sturen naar derden zonder medeweten van de eigenaar en blijven verwijderde of geblokkeerde gebruikers toegang houden tot de chatgeschiedenis, inclusief eerder gedeelde multimediabestanden. Daarnaast zijn er privacyproblemen, doordat e-mailadressen in gebruikersprofielen in platte tekst worden gedeeld tussen alle telefoons die betrokken zijn bij elke chat.

De onderzoekers waarschuwden beide fabrikanten, die vervolgens met updates kwamen om alle gevonden problemen te verhelpen.

Image

Reacties (7)
11-03-2021, 15:23 door Anoniem
Noem je dit dan een vulvanerability?
11-03-2021, 16:32 door Anoniem
Door Anoniem: Noem je dit dan een vulvanerability?

;-)
11-03-2021, 16:33 door Anoniem
Lullig, best kut gevoel
11-03-2021, 16:36 door Anoniem
Een Man in The Middle attack ...
11-03-2021, 17:50 door Anoniem
Dat is nu strafbaar als je iemand bevredigd op afstand
zonder toestemming,of dat de persoon dit weet en tegen iemands wil.

Alle onvrijwillige seks wordt strafbaar als verkrachting!
dus ook seks speeltjes die zonder toestemming op afstand worden bedient.

Welkom in het digitale panopticum van nederland,
wij controleren ieders gedrag,je bent fout bezig een zeden delict dus.

NLNU2021
11-03-2021, 18:57 door Anoniem
Oud nieuws maar blijft leuk:
https://www.youtube.com/watch?v=RnxcPeemHSc

BettercapV2 heeft de oude BTLE attack tools die ik vroeger gebruikte zelfs ingebouwd sinds een jaar of twee.
https://github.com/bettercap/bettercap "Bluetooth Low Energy devices scanning, characteristics enumeration, reading and writing."

- RAMLETHAL
11-03-2021, 21:54 door Anoniem
Maakt het allemaal uit?
We hebben toch niets te verbergen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.