Werner Schober ist Sicherheitsforscher bei SEC Consult und Student der Fachhochschule Österreich. In seinem fünften Studienjahr stand auch er vor einem Problem, das vielen von uns wahrscheinlich sehr bekannt vorkommt: Ein Thema für seine Abschlussarbeit musste her.
Also begann er damit, eine Schlagwortwolke mit Wörtern der Themen zu erstellen, die seine Kursteilnehmer für sich gewählt hatten. Angefangen bei DSGVO und Cloud bis hin zu Bitcoin waren so ziemlich alle gängigen IT-Schlagworte vertreten. Nur eines der derzeit aktuellsten Themen, das Internet der Dinge (IoT), fehlte auf Werners Liste. Ein Kinderspiel für den Sicherheitsforscher, vor allem weil er durch seine Arbeit bei SEC Consult bereits ausreichend Erfahrung in Sachen Penetrationstests gesammelt hatte, (z. B. das Hacken von Geräten und Netzwerken und das Aufspüren von Schwachstellen), die er in seiner Untersuchung mit einbringen konnte.
Das Internet der Dinge ist jedoch ein sehr breit gefächertes Konzept, das von intelligenten Ampeln über Herzschrittmacher bis hin zu smarten Teekannen aktuell so gut wie jeden Lebensbereich abdeckt – also musste das Thema eingegrenzt und ein Schwerpunkt gelegt werden. Die kritische Seite der IoT-Infrastruktur – wie die oben erwähnten Ampeln und Herzschrittmacher – war jedoch bereits zu Tode erforscht. Auch das Smart Home mit seinen cleveren Wasserkesseln und Glühbirnen war eingehend untersucht worden – ohne wirklich kritische Schwachstellen.
Werners Wahl fiel also auf eine IoT-Unterkategorie, die bisher kaum erforscht worden war (obwohl Studien existieren, da Hacker das Verbotene lieben) und wo Schwachstellen zu, im wahrsten Sinne des Wortes, spürbaren Folgen führen können: smartes Sexspielzeug.
Werner testete drei Geräte: darunter zwei chinesische und ein deutsches. Haben Sie bereits eine Vermutung, welches der drei Spielzeuge mehr Schwachstellen enthielt? Achtung, Spoileralarm: Das letzte. Und das mit Abstand! Die Schwachstellen stellten sich als so kritisch und zahlreich heraus, dass Werner die chinesischen Geräte komplett über Bord warf und seine gesamte Arbeit dem deutschen Kollegen widmete. Seine Erkenntnisse präsentierte er auf dem 35. Chaos Communication Congress (35C3).
Das deutsche Gerät trägt den Namen Vibratissimo PantyBuster. Es stellt eine Bluetooth-Verbindung zu einem Android- oder iOS-Smartphone her und wird über eine spezielle App – entweder lokal oder ferngesteuert – über ein weiteres Smartphone gesteuert. Die Fähigkeiten der App sind jedoch deutlich weitreichender und umfassen im Grunde genommen ein vollwertiges soziales Netzwerk mit Gruppenchats (!), Fotogalerien (!!), Freundeslisten (!!!) und anderen Features.
Software: Nutzer von Sexspielzeug lernen sich kennen
Beginnen wir mit den Software-Schwachstellen. Das Stammverzeichnis der Vibratissimo-Website enthielt eine .DS_Store-Datei, im Wesentlichen eine Liste aller Ordner und Dateien in diesem Verzeichnis mit zusätzlichen Einstellungen, die macOS erstellt, um Dateisymbole und Layout korrekt anzuzeigen. Werner konnte diese Datei entschlüsseln und auf diese Weise die Namen aller Ordner und Dateien des Stammverzeichnisses aufdecken.
Von besonderem Interesse war der CFG-Ordner, der eine gleichnamige Datei mit unverschlüsselten Login-Daten für den Zugriff auf die Datenbank enthielt. Werner konnte eine Schnittstelle finden, mit der er eine Verbindung zur Datenbank herstellen konnte, um die Anmeldeinformationen einzugeben und auf die privaten Daten aller Vibratissimo-Benutzer zuzugreifen, einschließlich ihrer Benutzernamen und Passwörter (die erneut ohne Verschlüsselung gespeichert waren) sowie Chats, Bilder und Videos. Welche Art von Chats und Bildern auf einem sozialen Netzwerk gefunden werden können, das auf einem Sexspielzeug basiert? Sie können es sich vermutlich denken.
Ein weiteres Sicherheitsproblem folgte: Erstellt man eine Bildergalerie in der App, wird dieser Galerie eine individuelle ID zugewiesen. Um die Bilder aufrufen zu können, sendet die App zunächst eine Anfrage, die eben diese ID enthält. Zu Testzwecken erstellte Werner eine Galerie mit zwei Katzenfotos, erhielt die entsprechende ID und kam dann auf die gloreiche Idee, die in der Anfrage enthaltene ID ganz einfach abzuändern. Das Ergebnis? Er konnte auf die Galerie eines anderen Nutzers zugreifen, die alles andere als süße Katzenbilder enthielt.
Darüber hinaus können Nutzer mit der App einen Quick-Control-Link erstellen, um das Gerät aus der Ferne zu aktivieren, der dann mit anderen Usern geteilt werden kann (für Fernbeziehungen, usw.). Bei der Verwendung des Links, ist keinerlei Bestätigung erforderlich – ganz im Gegenteil, das Gerät schaltet sich sofort ein. Des Weiteren enthält der Link eine ID. Und jetzt raten Sie mal, was passiert, wenn man diese ID beliebig austauscht? Genau! Das Gerät eines anderen schaltet sich ein.
Hinzu kommt, dass die App während der Authentifizierung beim Anmeldeprozess eine Anfrage mit dem unverschlüsselten Nutzernamen und Passwort im Klartext an den Server sendet. Das bedeutet, dass in einem öffentlichen Netzwerk jeder diese Daten abfangen kann. Davon abgesehen gab es noch weitere Softwareschwachstellen, die jedoch nicht allzu gravierend waren. Dafür gab es an anderen Stellen zahlreiche und vor allem schwerwiegende Probleme auf Transport- (im Sinne der Gerätekommunikation) und Hardware-Ebene.
Interface: Verknüpfung mit Fremden
Wie bereits erwähnt, ist der Vibratissimo PantyBuster via Bluetooth mit einem Smartphone verbunden. Genauer gesagt verwendet das Gerät die Funktechnik Bluetooth Low Energy, die zur Implementierung eine von fünf Kopplungstechniken berücksichtigt (Methode, um via Passkey-Technik eine Verbindung zwischen den Geräten herzustellen). Der auf dem Smartphone einzugebende Passkey kann auf dem Gerät selbst eingegeben, auf dem Display angezeigt oder im Voraus festgelegt werden (dies kann beispielsweise 0 oder 1234 sein). Darüber hinaus können Geräte Passkeys via NFC austauschen, oder es kann schlichtweg keine individuelle Kopplung stattfinden.
Der PantyBuster hat weder eine Anzeige noch ist er NFC-fähig; diese Optionen fallen daher von vorneherein weg. Zwei der verbleibenden Optionen sind geringfügig sicher, aber die Gerätehersteller scheinen „Einfachheit“ besonders groß zu schreiben und haben sich daher für einen einfachen und unsicheren Ansatz entschieden: keine individuelle Kopplung. Das heißt, wenn jemand den Befehl zur Geräteaktivierung kennt und sendet, vibrieren alle PantyBusters in Reichweite im Einklang. So kann jeder, der die App aktiviert hat, zum Beispiel durch die U-Bahn spazieren und jeden Geräteinhaber, der zufällig mit seinem Spielzeug unterwegs ist, beglücken.
Werner schrieb also ein simples Programm, das nach aktiven Bluetooth LE-Geräten in der Umgebung sucht, und diese, wenn es sich dabei um das fragwürdige Sexspielzeug handelt, auf Hochtouren bringt. Falls es jemanden interessiert: Eine solche Handlung wird nach österreichischem Strafrecht nicht als Vergewaltigung angesehen. Im Strafgesetzbuch des Landes gibt es jedoch einen Absatz über „unerwünschte sexuelle Handlungen“, und in einigen anderen Regionen ist dies möglicherweise auch der Fall.
Hardware: Das steckt wirklich drin
Zum einen gibt es keine Möglichkeit, die Firmware zu aktualisieren. Dies kann lediglich der Hersteller selbst tun, nicht aber der Nutzer. Als der Hersteller über Werners Forschungsergebnisse informiert wurde, machte dieser den Vorschlag, alle Nutzer zur Einsendung der Geräte aufzufordern. Es ist jedoch relativ unwahrscheinlich, dass jemand ein gebrauchtes Sexspielzeug für ein Firmware-Update an den Hersteller zurücksendet.
Zum anderen können im Innenleben des Geräts Schnittstellen gefunden werden, die der Hersteller zu Debugging-Zwecken verwendet hat und danach vergessen hat zu schließen. Diese Schnittstellen können zur Extrahierung und Analyse der Gerätefirmware verwendet werden.
IoT-Probleme bestehen weiterhin
Werners halbstündiger Vortrag thematisierte zahlreiche Probleme und wenige Lösungen, hauptsächlich deshalb, weil es keine gibt. Natürlich hat sich Werner an den Hersteller gewandt, und gemeinsam konnten einige Sicherheitsprobleme der App und neuer Geräte behoben werden. Die Hardwareprobleme auf bereits verkauften Geräten bleiben jedoch bestehen.
Um den Beitrag abzuschließen, möchten wir Ihnen unsere Tipps mit auf den Weg geben, die wir in fast jedem Beitrag über die Sicherheit von IoT-Geräten erwähnen: Bevor Sie ein smartes Gadget kaufen, informieren Sie sich zunächst online darüber. Überlegen Sie genau (mindestens zehnmal), ob Sie die smarten Features wirklich benötigen. Vielleicht reicht Ihnen auch eine Standardversion, die nicht mit dem Internet verbunden ist und nicht über eine App gesteuert wird vollkommen aus. So sparen Sie nicht nur Geld, sondern sind in jedem Fall auf der sicheren Seite.