Ein smarter Vibrator mit App und eingebauter Kamera, der einen unsicheren WLAN-Access-Point betreibt, den man von der anderen Straßenseite aus ausspionieren kann. Bei solchen Sicherheitslücken bleibt selbst gestandenen Sicherheitsforschern, die in den Gräben des IT-Alltags schon so ziemlich alles gesehen haben, erst mal die Luft weg. Das Jahr hat zwar gerade erst angefangen, aber trotzdem ist der vernetzte Dildo Siime Eye von Svakom bereits jetzt auf dem besten Weg, sämtliche Preise für die dümmste Internet-of-Things-Sicherheitslücke des Jahres abzuräumen.

Penetration Test fehlgeschlagen

Zuerst könnte man sich einmal fragen, warum ein Vibrator überhaupt eine Kamera haben muss. "Siime Eye", so der Hersteller, "erweckt Momente der Liebe durch aufgenommene Bilder und Videos zum Leben." Offensichtlich wurde dabei nicht viel Sorge getragen, diese höchst intimen Momente nur für vertraute Personen zum Leben zu erwecken. Denn das Webinterface des Vibrators ist mit voreingestellten Zugangsdaten (Nutzer: admin , Passwort: blank ) ausgestattet, die jedem im Funkbereich des Vibrators Zugriff auf die Videos der Kamera ermöglichen.

Und da die SSID des WLAN-Access-Points praktischerweise direkt nach dem Gerät benannt ist, gibt es bereits Anleitungen im Web, wie man die vernetzten Kamera-Dildos am schnell findet. Eine kurze Suche bei entsprechenden Webdiensten fördert tatsächlich hunderte dieser Geräte auf der ganzen Welt zu Tage.

Abgefangenes Vibrator-Bild der Sicherheitsforscher: Glücklicherweise sieht man hier nur den Teppich (Bild: Pen Test Partners)

Vibrator mit Skype-Anbindung

Die Sicherheitsforscher der Firma Pen Test Partners, die sich den smarten Vibrator genauer angesehen haben, fanden außerdem ein Skype-Interface, mit dem man das Gerät anscheinend mit dem VoIP-Dienst verbinden kann. Warum jemand so etwas tun wollte, stellt auch die Sicherheitsforscher vor ein Rätsel. Natürlich schafften es die Forscher, den Video-Stream des Vibrators auszulesen. Mit etwas mehr Mühe und mit Hilfe eines schlecht abgesicherten Telnet-Dienstes erlangen sie schließlich auch Root auf dem Dildo.

Bis jetzt hat der Hersteller den Forschern auf die Ende 2016 gemeldeten Sicherheitslücken nicht geantwortet. Demnach ist auch unklar, ob die Geräte abgesichert werden. Vielleicht sollte man aber eher grundsätzlich darüber nachdenken, ob ein solches Gerät eine schlaue Anschaffung ist. Vielleicht tut es auch ein herkömmlicher dummer Dildo ganz ohne Access Point, App und somit auch ohne Sicherheitslücken. (fab)