Wer nun irritiert ist: Seit einigen Jahren haben wir den Trend, dass alles Smart sein soll. Da dürfen Vibratoren natürlich nicht fehlen. Smart heißt konkret meistens, in irgend einer Form mit anderen IT-Geräten verbunden. Mittlerweile zunehmend mit externen Cloud-Diensten. Strom bekommen sie dadurch allerdings nicht, hierfür gibt es USB-Buchsen. Was prinzipiell ein sinnvoller Gedanke ist, da ohnehin mehrheitlich bereits entsprechende Ladegeräte für Smartphones oder anderes Zubehör vorhanden sind.
Vibrator steuert PC fern?
Eine Kundin hat jedoch die Kehrseiten kennen gelernt. Sie steckte ihren Dildo an der USB-Buchse in ihren Computer, um ihn aufzuladen. Danach soll der Webbrowser geöffnet und eine Datei heruntergeladen worden sein, ohne dass dies bewusst von ihr durchgeführt wurde. Dabei handelte es sich um eine alte, bekannte Malware. Sie hatte Glück und ihr Antivirenprogramm blockierte das Schadprogramm.1
Inzwischen sind einige Tage vergangen, verschiedene Medien haben über den Fall berichtet.2 Die Frau hat die heruntergeladene Datei an Malwarebytes gesendet. Dort wurde sie untersucht.3 Auch ein paar Reddit-Nutzer sahen sie sich genauer an. Laut der Analyse handelt es sich um eine XML-Bombe, die den Browser zum Absturz bringt und damit wohl von der Schadsoftware selbst ablenken soll: Lumma ist eine bekannte Malware, die als Malware-as-a-Service (MaaS) angeboten wird. Cloud ist auch bei Kriminellen im Trend! Die Schadsoftware hat sich auf das Ausspähen von Browser-Erweiterungen und Crypto-Börsen spezialisiert.
Verkauft wurde der Vibrator von der Die nordamerikanische Supermarktkette Spencer’s. Dort hieß es, das Problem sei bekannt, doch man könne bislang keine weiteren Informationen dazu bereitstellen. Später wurde nachgereicht: Der Vibrator könne keine Daten übertragen, weil die Daten-Pins der USB-Schnittstelle nicht angeschlossen sind. Das widerspricht der Kundin, die den Dildo „Vibrator-Flashlaufwerk“ nannte.
Was stimmt?
Das lässt sich schwer beurteilen. Es könnte sich tatsächlich um einen ungünstigen Zufall handeln. Schadsoftware schlägt oft nicht sofort zu, sondern beobachtet erst die Umgebung und wartet auf einen geeigneten Moment. Möglicherweise hat die Malware erkannt, dass niemand etwas am PC macht, während sie den Dildo eingesteckt hat – somit wäre es nur eine zeitliche Überlappung.
Inzwischen hat die Kundin ihr Reddit-Konto und damit auch den Beitrag gelöscht.4 Dies kann man als Bestätigung dafür sehen, dass es sich um (ungewollte) Falschinformationen handelte. Oder sie hat sich ein Wegwerf-Konto gemacht, um zu erfahren, welche Folgen die bereitgestellte Datei haben kann. Nachdem dies beantwortet werden konnte, wurde das Konto schlichtweg zur Datensparsamkeit gelöscht. Insbesondere auf Reddit ist das für sensiblere Zwecke wie z.B. AMAs recht üblich. So etwas möchten viele nicht mit ihrem Haupt-Konto verknüpfen.
Ohne das betroffene Gerät zu analysieren, wird das kaum zu klären sein. Nachdem sie ihr Konto gelöscht hat, dürfte zumindest sie kein Interesse an einer weiteren Prüfung haben.
Die Gefahren sind trotzdem da
Die Geschichte ist grundsätzlich jedoch alles andere als unglaubwürdig. Gerade bei Sex-Spielzeug sind Sicherheitsmängel nicht neu: 2016 wurde ein Vibrator erfolgreich gehackt. Dadurch konnten unbefugte ihn aktivieren und es wurden weitere Probleme entdeckt. Der Anbieter Standard Innovation sammelt nämlich intime Daten zur Funktion seiner Produkte bei den Kunden, die das Gerät regelmäßig nach hause sendet.56 We Vibe informierte den Hersteller sogar in Echtzeit über die Intensität des Vibrators. Für das ausspionieren seiner Kunden wurde das Unternehmen 2017 zu Entschädigungszahlungen von 3,75 Millionen US-Dollar verurteilt.7
Wer das noch nicht bedenklich genug findet, für den hat es Svakom Siime Eye auf die Spitze getrieben: Der Vibrator besitzt eine Kamera am anderen Ende und steckte ebenfalls voller Sicherheitsmängel – man konnte volle Kontrolle über das Gerät erlangen. Somit auch auf die Video-Kamera, um dem unbedarften Nutzer zuzusehen. Die überträgt ihr Signal in Echtzeit ins Internet. Besonders dreist: Der Hersteller wurde mehrmals gewarnt, reagierte jedoch nicht einmal.8
2018 wollten Sicherheitsforscher die Sicherheit von Sexspielzeugen untersuchten und analysierten dafür zwei chinesische und ein deutsches Gerät. Am gravierendsten waren dabei die Sicherheitsmängel beim Hersteller aus Deutschland – derart umfangreich, dass er die chinesischen Geräte gar nicht weiter beachtete. In einem knapp halbstündigen Vortrag stellt er seine Ergebnisse auf dem 35C3 des Chaos Computer Club (CCC) vor.9 Der deutsche Vibratissimo PantyBuster10 bringt ein soziales Netzwerk mit sich. Dummerweise konnte jeder auf die Nutzerdaten inklusive Klartext-Passwörter (!!!) zugreifen, da der Hersteller die Zugangsdaten auf seinem Webserver liegen hatte. Dazu sind die Vibratoren nicht gesichert – sendet man den Befehl zur Geräteaktivierung, vibrieren alle Geräte in Reichweite. Auch die Cloudsysteme sind voller Sicherheitsmängel.11
Es passt ins Bild, dass auch 6 Jahre später die Seite nur in Englisch erreichbar ist – ein Klick auf den prominenten „German“ Link12 führt zu einer Fehlermeldung.
Es sei erwähnt, dass die ungewollte Aktivierung eines Vibrators aus rechtlicher Sicht als sexuelle Nötigung gewertet werden kann. Ist spätestens auf den zweiten Blick logisch: Ob die betroffene Person mit einer menschlichen Hand direkt unerwünscht berührt wird, oder durch ein ferngesteuertes Gerät, spielt für die Belästigung keine entscheidende Rolle. Sonst wären Fernsteuerungen ja ein Freifahrtschein für Gesetzesbrüche und das in allen Bereichen.
USB
Zwar haben diese Fälle nicht zwingend etwas mit USB zu tun. Die Meisten Hersteller haben so wenig auf Sicherheit geachtet, dass ihre Geräte auch ohne USB fundamental unsicher geworden sind. Dennoch sollte man wissen: USB ist – wie das Kürzel es verspricht – eine universelle Schnittstelle. Das ist bequem, weil man sie für viele Aufgaben nutzen kann, statt auf unterschiedliche Technologien zu setzen. Allerdings hat das seinen Preis. Man kann sich nicht darauf verlassen, dass in einem proprietären USB-Gerät wirklich das drin steckt, was drauf steht.13
Ein USB-Stick beispielsweise kann sich als Tastatur ausgeben und sämtliche Eingaben mitschneiden – also ein Keylogger. Natürlich kann dieser auch Tasten senden, womit sich unbegrenzt Code ausführen lässt. Mit eSATA dagegen wäre das nicht möglich, weil SATA spezifisch für Speichergeräte gemacht wurde. Ein Gerät hat keine Möglichkeit, beim Anschluss dem PC zu sagen, es sei eine Tastatur und möchte derart behandelt werden. Dies ist heutzutage das wohl größte Problem.
Anfänglich waren verseuchte USB-Sticks nur für Windows-Nutzer gefährlich, weil es Microsoft erstmals mit Windows 95 für eine gute Idee hielt, dass CDs (und später USB-Sticks) per autorun.inf automatisch Exe-Dateien starten konnten.14 Das wurde natürlich für Schadsoftware missbraucht: Man verteilt USB-Sticks und vertraut auf die Neugierde der Menschen. In einem Experiment aus dem Jahre 2016 schloss fast die Hälfte einen gefundenen USB-Stick am Computer an.15 Bei Stuxnet geht man davon aus, dass die Sabotage des Atomkraftwerks durch einen eingeschleusten USB-Sticks erfolgte.16 Jahre später hat Microsoft die Funktion standardmäßig abgeschaltet.
Das ändert aber nichts daran, dass USB-Geräte eine Wundertüte sind. Daher ist es technisch absolut denkbar, einen kleinen USB-Speicher in Geräten wie Vibratoren einzubauen. Dazu könnte sich das Gerät als Tastatur ausgeben, um die Schadsoftware zu starten.
Fazit
Diese Beispiele zeigen: Geschlossene, Smarte Geräte sind ein potenzielles Sicherheitsrisiko.17 Obwohl es sich hier um besonders sensible Geräte handelt, kümmern sich einige Unternehmen nicht mal um grundlegende Schutzmaßnahmen – sondern sammeln sogar fleißig Daten. Manche ignorieren die Mängel einfach – frei nach dem Motto: So lange genug naive Menschen das kaputte Zeug kaufen, ist das deren Problem, nicht unseres. Hier zeigt sich wieder mal, dass ohne Softwaremängelhaftung wohl leider nicht viel besser werden wird. Unternehmen denken an ihren Profit. So lange der fließt, wird wirksame Sicherheit gerne als unnötiger Kostenfaktor betrachtet. Man sollte sich daher genau überlegen, ob man derartige Geräte wirklich braucht und man sich diesem Risiko aussetzen möchte.
Generell sollte man davon Abstand nehmen, zumindest USB-Geräte am PC anzuschließen, die diesen gar nicht benötigen. Datenblocker können die zur Datenübertragung vorgesehenen Leitungen unterbrechen,18 sodass technisch wirklich nur Strom fließen kann. Am sichersten ist jedoch ein separates Ladegerät – dort laden viele Akkus ohnehin schneller, als an den meist limitierten Schnittstellen von PCs und Notebooks. Schlussendlich müsst ihr dem Gerät vertrauen, dass es sich um das handelt, was es behauptet. Das gilt übrigens genau so für andere USB-Geräte wie z.B. Smartphones.19
All diese Probleme sind real, weswegen es mMn. irrelevant ist, ob in diesem einen Fall der Dildo wirklich manipuliert/verseucht war. Technisch ist das Beschriebene umsetzbar und es gab bereits einige schwere Sicherheitsmängel in der Branche – daher nutze ich diese Gelegenheit, um auf diese Risiken hinzuweisen, denen sich die Kunden aussetzen.
Quellen
- https://archive.li/PRTMK ↩︎
- https://winfuture.de/news,141423.html ↩︎
- https://www.malwarebytes.com/blog/news/2024/02/vibrator-virus-steals-your-personal-information ↩︎
- https://www.reddit.com/r/Malware/comments/1asn02v/malware_from_a_vibrator/ ↩︎
- https://t3n.de/news/sex-toy-spionagewerkzeug-hacker-734380/ ↩︎
- https://www.kaspersky.de/blog/insecure-vibrator/8467/ ↩︎
- https://futurezone.at/digital-life/spionierender-vibrator-firma-muss-entschaedigung-zahlen/251.433.869 ↩︎
- https://futurezone.at/digital-life/hacker-uebernehmen-kontrolle-von-vibrator-mit-kamera/256.252.588 ↩︎
- https://media.ccc.de/v/35c3-9523-internet_of_dongs ↩︎
- https://vibratissimo.com/en/ ↩︎
- https://www.kaspersky.de/blog/35c3-insecure-sex-toy/18375/ ↩︎
- https://www.vibratissimo.com/index.html ↩︎
- https://www.welt.de/wirtschaft/webwelt/article130757294/Jeder-USB-Stick-kann-zur-Cyber-Waffe-werden.html ↩︎
- https://learn.microsoft.com/en-us/archive/msdn-magazine/2001/november/autoplay-in-windows-xp-automatically-detect-and-react-to-new-devices-on-a-system ↩︎
- https://www.heise.de/news/Studie-Wuerden-Sie-einen-gefundenen-USB-Stick-anschliessen-3164154.html?wt_mc=rss.security.beitrag.atom ↩︎
- https://www.attingo.de/blog/cyber-angriffe-ueber-manipulierte-usb-sticks/ ↩︎
- https://futurezone.at/digital-life/smart-home-geraete-sicherheit-iot-cyberkriminalitaet-it-s-now-katharina-krombholz-fh-campus-wien/402482318 ↩︎
- https://www.giga.de/tipp/usb-pinbelegung-a-b-c-micro/ ↩︎
- https://www.forbes.com/sites/suzannerowankelleher/2020/02/24/does-your-phone-charger-need-a-usb-condom-when-you-travel/ ↩︎