ESET-Forscher fanden heraus, dass einige smarte Sextoys gravierende Sicherheitslücken aufweisen. Über die App, die die entsprechenden Spielzeuge steuern, seien Cyberkriminell dazu in der Lage, Schadsoftware auf den genutzten Smartphones zu installieren. So sei es möglich, den Anwendern körperliche Schäden zuzufügen und Daten wie Chats, Bilder oder Videos zu stehlen, die sich für Erpressungsversuche nutzen lassen.
Im Folgenden informieren wir über intelligentes Sexspielzeug und welche Bedeutung der Aspekt der Sicherheit für die modernen Lustbringer hat.
Vollständig per App steuerbar – das zeichnet smarte Sextoys aus
Die Digitalisierung hat auch vor dem Sexspielezeug-Markt nicht halt gemacht. Waren Dildo, Vibrator, Anal-Plug und Co. früher noch ausschließlich für die analoge Anwendung konzipiert, sind inzwischen immer mehr dieser Geräte im wahrsten Sinne des Wortes technische Alleskönner. Es handelt sich bei ihnen um smarte Sextoys.
Smart werden sie deshalb genannt, weil sie mit anderen technischen Geräten verbunden werden können und per App sowie übers Internet steuerbar sind. Was heißt das konkret?
Über eine auf dem Smartphone installierte App ist es möglich, per Bluetooth Low Energy (BLE) auf ein intelligentes Sextoy zuzugreifen und Befehle festzulegen. Dafür verbindet sich die Anwendung mit einem Server in der Cloud, auf dem die Kontoinformationen der Person hinterlegt und gespeichert sind. Zum Teil fungiert dieser Cloud-Dienst dabei auch als eine Art zentrale Instanz, die Funktionen wie Dateiübertragungen, Synchronisation mit Liedern, Multimedia-Mitteilungen, Gruppenchats oder Videokonferenzen bereitstellt. Beispielsweise gibt es auch smarte Sextoys, die sich vom Partner fremdsteuern lassen – und genau solch eine Funktion macht dieser Dienst für die Benutzer abrufbar.
Apropos Fremdsteuerung: Es gibt eine Funktion, die viele smarte Geräte bieten und in der es ebenfalls um ein gemeinsames Sextoy-Erlebnis geht – nämlich die Synchronisierung mehrerer Geräte. Denn einige Modelle können sich miteinander gleichschalten und so ihre Bewegungen replizieren. Eine Möglichkeit für Paare, smarte Sextoys buchstäblich intelligent ins Liebesspiel einzubinden.
Diese Schwachstellen besitzen smarte Sextoys
Sextoys kommen bekanntlich in den intimsten und schützenswertesten aller Momente zum Einsatz – beim Sex. Demnach möchte wohl kaum jemand, dass etwas von dem, wofür die handlichen Lustbringer genutzt werden, den privaten Bereich verlässt. Heißt: Sicherheit sollte bei smarten Sexspielzeugen das A und O sein.
Ein Aspekt, der erst neuerdings Berücksichtigung finden muss. Denn bevor Sextoys den Schritt zur Digitalisierung vollzogen hatten und es sie nur in analoger Ausführung gab, bestand keine Gefahr, dass sich Kriminelle an diesen missbräuchlich zu schaffen machen. Ganz im Gegensatz zu heute, wo viele intelligente Sexspielzeuge an eine App gekoppelt sind und sich über diese steuern lassen.
Grundsätzlich gibt es zwei Angriffspunkte, über die sich die Cyberkriminellen Zugriff auf die Geräte verschaffen können. Zum einen ist das die lokale Kommunikationsschnittstelle zwischen der steuernden App, der Cloud und dem smarten Sexspielezeug selbst. Hacker können nämlich die Informationen beim Hin- und Hersenden innerhalb dieser Kommunikations-Architektur abfangen.
Den zweiten Angriffspunkt stellt der cloudbasierte Dienst dar, der direkt angegriffen werden kann. Hierbei wird nicht der Datenverkehr abgefangen, sondern es wird sich direkter Zugriff auf die Daten verschafft.
Gefahren von smartem Sexspielzeug
Was droht nun aber ganz konkret Besitzern von per App steuerbarem Sexspielezeug durch Cyberangriffe?
Die Kriminellen haben die Möglichkeit, Malware auf dem genutzten Smartphone zu installieren und so Fotos, Videos, Nachrichten und andere Dateien sowie Namen, Informationen zu geschlechtsspezifischen Orientierungen und Listen von Sexualpartner zu stehlen.
Das gestohlene Material lässt sich dann wiederum ideal als Druckmittel für Erpressungsversuche missbrauchen. Eine inzwischen weit verbreitete Form der Cyber-Erpressung ist beispielsweise die sogenannte Sextortion, bei der der Täter seinem Opfer mit der Veröffentlichung von Nacktfotos oder -videos droht.
Aber smarte Sextoys werfen nicht nur Datenschutzbedenken auf. Auch die Kompromittierung der Geräte stellt eine ernstzunehmende Gefahr dar. So könnten Hacker die Kontrolle über ein intelligentes Sexspielzeug übernehmen und durch DoS-Angriffe (Denial-of-Service) die Übermittlung von Befehlen blockieren. Die Cyberkriminellen hätten die Möglichkeit, Malware zu verbreiten oder dem Benutzer erheblichen körperlichen Schaden zuzufügen, zum Beispiel durch Überhitzung oder Modifizierung der Vibrations-Intensität. Bei einem solchen Cyberangriff, bei dem die körperliche Unversehrtheit des Opfers in Mitleidenschaft gezogen wird, handelt es sich möglicherweise sogar um sexuellen Missbrauch oder zumindest um einen sexuellen Übergriff.
Sicherheitslücken in smarten Sextoys bergen also diverse Gefahren für die Benutzer – angefangen beim Datendiebstahl bis hin zu körperlichen Schäden. Daher ist es absolut notwendig, dass die Hersteller höchste Ansprüche an die Sicherheit ihrer Geräte stellen und diese entsprechend schützen.
Zwei smarte Sextoys mit Sicherheitslücken: „Max“ von Lovense und „Jive“ von We-Vibe
Zwei intelligente Sexspielzeuge, bei denen ESET-Forscher Mängel bezüglich der Sicherheit haben feststellen können, sind der „Max“ von Lovense und der „Jive“ von We-Vibe. Einige der Schwachstellen weisen dabei beide Geräte gleichermaßen auf, andere wiederum betreffen jeweils nur eines.
Eine der wohl gravierendsten Sicherheitslücken, die sich sowohl beim Lovense-„Max“ als auch beim We-Vibe-„Jive“ feststellen ließ, betrifft die Bluetooth-Funktion der Sextoys. Denn diese müssen ständig ihre Verbindungsbereitschaft bekanntgeben, damit der Benutzer eine Verbindung herstellen kann. Dadurch können die Geräte mit einem einfachen Bluetooth-Scanner gefunden werden.
Grund für diesen Mangel ist, dass die smarten Sextoys eine relativ unsichere Pairing-Methode verwenden, bei der automatisch eine Verbindung zu Mobiltelefonen, Computern oder Tablets in der Nähe hergestellt wird, ohne dass eine Authentifizierung durchgeführt wird. Besonders groß sind hierbei die Sicherheitsrisiken für die Besitzer des Jive-Geräts, da dieses bewusst so entwickelt wurde, dass es im Alltag und an öffentlichen Orten getragen werden kann.
Darüber hinaus sind die Apps beider intelligenter Sexspielzeuge hinsichtlich des Schutzes der Privatsphäre der Benutzer in einigen Aspekten fragwürdig designt. Das kann vor allem deshalb gefährlich sein, weil viele aufgrund persönlicher Neigungen oder im Rahmen eines Camgirl/-boy-Kontextes anderen Zugriff auf ihr Gerät gewähren.
Eine Schwachstelle, die nur das Lovense-Sextoy besitzt und die der dazugehörigen App zuzuschreiben ist, ergibt sich aus der Generierung einer URL in einem ganz bestimmten Format. Durch die Eingabe jener URL in die Adresszeile des Browsers können die Benutzer ihr Gerät fernsteuern. Da der Server nun aber keinen Schutz vor sogenannten Brute-Force-Angriffen bietet, besteht ein erhebliches Sicherheitsrisiko. Vereinfacht erklärt ist es mit dieser Methode nämlich möglich, die URL, über die ein Benutzer sein Lovense-Sextoy steuert, auszulesen und so die Kontrolle über das Gerät zu erlangen.
Weitere Sicherheitslücken des „Max“ von Lovense, die ebenfalls von der App ausgehen: Screenshots werden nicht deaktiviert, es gibt keine Ende-zu-Ende-Verschlüsselung, die Option „Löschen“ im Chat entfernt keine Nachrichten vom Remote-Smartphone und Benutzer können Inhalte von anderen herunterladen und weiterleiten, ohne dass eine Benachrichtigung an den Besitzer des Contents verschickt wird.
Und auch die App des smarten Sextoys „Jive“ von We-Vibe hat mit einer erheblichen Sicherheitslücke zu kämpfen. So bleiben vertrauliche Metadaten nach dem Senden in Dateien erhalten. Das könnte vor allem beim Sexting mit anderen Benutzern negative Folgen haben, indem versehentlich Informationen über das Gerät und den genauen Standort gesendet werden.
Fazit: Kann smartes Sexspielzeug sicher genutzt werden?
Die Sicherheit von smartem Sexspielzeug hängt in erster Linie vom Benutzer selbst ab – genaugenommen damit, dass dieser sich über Sicherheits- und Datenschutzrisiken vor der Benutzung informiert und rechtzeitig entsprechende Schutzmaßnahmen ergreift.
An folgende Tipps sollte sich der Benutzer halten:
- Steuerung eines intelligenten Sextoys möglichst mit Bluetooth-fähiger App ohne Online-Konto-Zwang
- Kein Teilen von Videos oder Fotos, die Rückschlüsse auf persönliche Informationen zulassen
- Remote-URL zur Fernsteuerung des smarten Sextoys nicht online verbreiten
- Sexspielzeug und Bluetooth-Funktion ausschalten, wenn nicht im Gebrauch
- Neuestes Update für das genutzte Smartphone installieren.
- Heimisches WLAN-Netzwerk mit starkem Passwort schützen
Wer diese Regeln befolgt, minimiert die Risiken, über sein smartes Sextoy Opfer von Hackerangriffen zu werden.
20 sichere & legale Pornoseiten für virenfreie Sexfilme & Pornos