​Aantal kwetsbaarheden in slimme seksspeeltjes verholpen

De verkoop van seksnologie heeft sinds het begin van de coronacrisis een enorme vlucht gemaakt. Uit de verkoopcijfers van EasyToys blijkt dat er vorig jaar veel meer slimme seksspeeltjes werden verkocht dan in het jaar ervoor. 2021 lijkt dat aantal zelfs te gaan overtreffen: in de eerste twee maanden is al ruim 50 procent omgezet van wat er in 2020 totaal werd verkocht aan seksnologie. EasyToys ziet als verklaring voor de populariteit van deze speeltjes dat door de lockdown steeds meer stelletjes ook op afstand van elkaar willen genieten.

Seksnologie

Deze technologie biedt veel mogelijkheden maar er zijn ook zorgen omtrent de veiligheid. Zo waren speeltjes op afstand over te nemen en lekte deze gevoelige informatie. Het doel van dit onderzoek is om aandacht te vragen voor de veiligheid en het bewustzijn hierover te vergroten. De gevonden problemen zijn inmiddels verholpen en er is nauw samengewerkt met de betrokken leveranciers om problemen in de toekomst te voorkomen. Beide leveranciers onderschrijven de gevonden problemen en hebben privacy & security nóg hoger op de agenda gezet. Het onderzoek van ESET is dan ook een belangrijke stap geweest om slimme seksspeeltjes een stuk veiliger te maken.

Sex in the Digital Era – How secure are smart sex toys?

Het rapport “Sex in the Digital Era – How secure are smart sex toys?” verkent de potentiële beveiligings- en veiligheidsgebreken van slimme seksspeeltjes en bevat een analyse van twee populaire apparaten. Onderzoekers van ESET vonden kwetsbaarheden in de apps die de onderzochte slimme seksspeeltjes aansturen. Deze kwetsbaarheden zouden het mogelijk maken om malware te installeren op de aangesloten telefoon, firmware te wijzigen in de speeltjes, of zelfs een apparaat opzettelijk aan te passen om fysieke schade toe te brengen aan de gebruiker. Nu de problemen verholpen zijn is het belangrijk om gebruikers verder te informeren over het gebruik van deze nieuwe technologie.

Om deze gevaren aan te pakken en te onderzoeken hoe veilig slimme speeltjes zijn, analyseerden ESET-onderzoekers twee van de best verkochte speeltjes voor volwassenen op de markt: de We-Vibe ‘Jive’ en de Lovense ‘Max’. De onderzoekers downloadden officiële apps die beschikbaar zijn in de Google Play Store voor het besturen van de apparaten (We-Connect en Lovense Remote) en gebruikten bestaande frameworks voor kwetsbaarheden en zijn handmatig op zoek gegaan naar kwetsbaarheden. Beide ontwikkelaars kregen naar aanleiding van het onderzoek een gedetailleerd rapport toegestuurd van de kwetsbaarheden, inclusief suggesties hoe deze te verhelpen. Op het moment van publicatie zijn alle kwetsbaarheden verholpen.

We-Vibe

Als draagbaar apparaat kan de We-Vibe Jive overal gebruikt worden, ook in onveilige omgevingen. Uit ESET’s onderzoek blijkt dat het apparaat voortdurend zichtbaar is en zijn aanwezigheid kenbaar maakt om een verbinding mogelijk te maken. Dit betekent dat iedereen met een Bluetooth-scanner het apparaat in de buurt, tot op wel achter meter afstand, kon vinden. Vervolgens zou een kwaadwillende kunnen zien wie het apparaat draagt en het apparaat vervolgens overnemen en besturen, met alle serieuze gevolgen van dien.

Tevens waren er serieuze problemen met de koppelmethode waardoor elk willekeurig apparaat verbinding zou kunnen maken met de Jive zonder verificatie of authenticatie uit te voeren. Daarnaast ontdekte ESET dat elke keer dat gebruikers een foto naar een andere (mogelijk onbekende) telefoon sturen, ze mogelijk ook informatie over hun apparaten en hun exacte locatie verzenden.

Lovense

Het andere apparaat dat ESET heeft onderzocht, de Lovense Max, heeft de mogelijkheid om te synchroniseren met een wederhelft op afstand. Hierdoor zou een aanvaller de controle over beide apparaten kunnen overnemen door slechts één van de twee seksspeeltjes te compromitteren.

Het ontwerp van de app heeft naar mening van ESET twijfelachtige privacykeuzes gemaakt. Zo is het mogelijk om afbeeldingen door te sturen naar derden zonder medeweten van de eigenaar en blijven verwijderde of geblokkeerde gebruikers toegang houden tot de chatgeschiedenis, inclusief eerder gedeelde multimediabestanden. Lovense Max is ook kwetsbaar voor zogenaamde MiTM aanvallen. Dit wil zeggen dat een kwaadwillende op afstand het apparaat kan overnemen en besturen. Daarnaast zijn er privacyproblemen, doordat e-mailadressen in gebruikersprofielen in platte tekst worden gedeeld tussen alle telefoons die betrokken zijn bij elke chat.

[Fotocredits – Darya © Adobe Stock]