{"id":12758,"date":"2024-03-10T21:45:06","date_gmt":"2024-03-10T19:45:06","guid":{"rendered":"https:\/\/u-labs.de\/portal\/?p=12758"},"modified":"2024-12-30T23:19:30","modified_gmt":"2024-12-30T21:19:30","slug":"bitte-nicht-in-das-falsche-loch-stecken","status":"publish","type":"post","link":"https:\/\/u-labs.de\/portal\/bitte-nicht-in-das-falsche-loch-stecken\/","title":{"rendered":"Diesen Vibrator bitte nicht in das falsche Loch stecken"},"content":{"rendered":"

Wer nun irritiert ist: Seit einigen Jahren haben wir den Trend, dass alles Smart<\/em> sein soll. Da d\u00fcrfen Vibratoren nat\u00fcrlich nicht fehlen. Smart<\/em> hei\u00dft konkret meistens, in irgend einer Form mit anderen IT-Ger\u00e4ten verbunden. Mittlerweile zunehmend mit externen Cloud-Diensten. Strom bekommen sie dadurch allerdings nicht, hierf\u00fcr gibt es USB-Buchsen. Was prinzipiell ein sinnvoller Gedanke ist, da ohnehin mehrheitlich bereits entsprechende Ladeger\u00e4te f\u00fcr Smartphones oder anderes Zubeh\u00f6r vorhanden sind.<\/p>\n

Vibrator steuert PC fern?<\/h2>\n

Eine Kundin hat jedoch die Kehrseiten kennen gelernt. Sie steckte ihren Dildo an der USB-Buchse in ihren Computer, um ihn aufzuladen. Danach soll der Webbrowser ge\u00f6ffnet und eine Datei heruntergeladen worden sein, ohne dass dies bewusst von ihr durchgef\u00fchrt wurde. Dabei handelte es sich um eine alte, bekannte Malware. Sie hatte Gl\u00fcck und ihr Antivirenprogramm blockierte das Schadprogramm.1<\/a><\/sup> <\/p>\n

Inzwischen sind einige Tage vergangen, verschiedene Medien haben \u00fcber den Fall berichtet.2<\/a><\/sup> Die Frau hat die heruntergeladene Datei an Malwarebytes gesendet. Dort wurde sie untersucht.3<\/a><\/sup> Auch ein paar Reddit-Nutzer sahen sie sich genauer an. Laut der Analyse handelt es sich um eine XML-Bombe, die den Browser zum Absturz bringt und damit wohl von der Schadsoftware selbst ablenken soll: Lumma ist eine bekannte Malware, die als Malware-as-a-Service (MaaS) angeboten wird. Cloud ist auch bei Kriminellen im Trend! Die Schadsoftware hat sich auf das Aussp\u00e4hen von Browser-Erweiterungen und Crypto-B\u00f6rsen spezialisiert.<\/p>\n

Verkauft wurde der Vibrator von der Die nordamerikanische Supermarktkette Spencer’s. Dort hie\u00df es, das Problem sei bekannt, doch man k\u00f6nne bislang keine weiteren Informationen dazu bereitstellen. Sp\u00e4ter wurde nachgereicht: Der Vibrator k\u00f6nne keine Daten \u00fcbertragen, weil die Daten-Pins der USB-Schnittstelle nicht angeschlossen sind. Das widerspricht der Kundin, die den Dildo „Vibrator-Flashlaufwerk“ nannte.<\/p>\n

Was stimmt?<\/h2>\n

Das l\u00e4sst sich schwer beurteilen. Es k\u00f6nnte sich tats\u00e4chlich um einen ung\u00fcnstigen Zufall handeln. Schadsoftware schl\u00e4gt oft nicht sofort zu, sondern beobachtet erst die Umgebung und wartet auf einen geeigneten Moment. M\u00f6glicherweise hat die Malware erkannt, dass niemand etwas am PC macht, w\u00e4hrend sie den Dildo eingesteckt hat – somit w\u00e4re es nur eine zeitliche \u00dcberlappung.<\/p>\n

Inzwischen hat die Kundin ihr Reddit-Konto und damit auch den Beitrag gel\u00f6scht.4<\/a><\/sup> Dies kann man als Best\u00e4tigung daf\u00fcr sehen, dass es sich um (ungewollte) Falschinformationen handelte. Oder sie hat sich ein Wegwerf-Konto gemacht, um zu erfahren, welche Folgen die bereitgestellte Datei haben kann. Nachdem dies beantwortet werden konnte, wurde das Konto schlichtweg zur Datensparsamkeit gel\u00f6scht. Insbesondere auf Reddit ist das f\u00fcr sensiblere Zwecke wie z.B. AMAs recht \u00fcblich. So etwas m\u00f6chten viele nicht mit ihrem Haupt-Konto verkn\u00fcpfen.<\/p>\n

Ohne das betroffene Ger\u00e4t zu analysieren, wird das kaum zu kl\u00e4ren sein. Nachdem sie ihr Konto gel\u00f6scht hat, d\u00fcrfte zumindest sie kein Interesse an einer weiteren Pr\u00fcfung haben.<\/p>\n

Die Gefahren sind trotzdem da<\/h2>\n

Die Geschichte ist grunds\u00e4tzlich jedoch alles andere als unglaubw\u00fcrdig. Gerade bei Sex-Spielzeug sind Sicherheitsm\u00e4ngel nicht neu: 2016 wurde ein Vibrator erfolgreich gehackt. Dadurch konnten unbefugte ihn aktivieren und es wurden weitere Probleme entdeckt. Der Anbieter Standard Innovation<\/em> sammelt n\u00e4mlich intime Daten zur Funktion seiner Produkte bei den Kunden, die das Ger\u00e4t regelm\u00e4\u00dfig nach hause sendet.5<\/a><\/sup>6<\/a><\/sup> We Vibe informierte den Hersteller sogar in Echtzeit \u00fcber die Intensit\u00e4t des Vibrators. F\u00fcr das ausspionieren seiner Kunden wurde das Unternehmen 2017 zu Entsch\u00e4digungszahlungen von 3,75 Millionen US-Dollar verurteilt.7<\/a><\/sup><\/p>\n

Wer das noch nicht bedenklich genug findet, f\u00fcr den hat es Svakom Siime Eye auf die Spitze getrieben: Der Vibrator besitzt eine Kamera am anderen Ende und steckte ebenfalls voller Sicherheitsm\u00e4ngel – man konnte volle Kontrolle \u00fcber das Ger\u00e4t erlangen. Somit auch auf die Video-Kamera, um dem unbedarften Nutzer zuzusehen. Die \u00fcbertr\u00e4gt ihr Signal in Echtzeit ins Internet. Besonders dreist: Der Hersteller wurde mehrmals gewarnt, reagierte jedoch nicht einmal.8<\/a><\/sup><\/p>\n

2018 wollten Sicherheitsforscher die Sicherheit von Sexspielzeugen untersuchten und analysierten daf\u00fcr zwei chinesische und ein deutsches Ger\u00e4t. Am gravierendsten waren dabei die Sicherheitsm\u00e4ngel beim Hersteller aus Deutschland – derart umfangreich, dass er die chinesischen Ger\u00e4te gar nicht weiter beachtete. In einem knapp halbst\u00fcndigen Vortrag stellt er seine Ergebnisse auf dem 35C3 des Chaos Computer Club (CCC) vor.9<\/a><\/sup> Der deutsche Vibratissimo PantyBuster10<\/a><\/sup> bringt ein soziales Netzwerk mit sich. Dummerweise konnte jeder auf die Nutzerdaten inklusive Klartext-Passw\u00f6rter (!!!) zugreifen, da der Hersteller die Zugangsdaten auf seinem Webserver liegen hatte. Dazu sind die Vibratoren nicht gesichert – sendet man den Befehl zur Ger\u00e4teaktivierung, vibrieren alle Ger\u00e4te in Reichweite. Auch die Cloudsysteme sind voller Sicherheitsm\u00e4ngel.11<\/a><\/sup><\/p>\n

Es passt ins Bild, dass auch 6 Jahre sp\u00e4ter die Seite nur in Englisch erreichbar ist – ein Klick auf den prominenten „German“ Link12<\/a><\/sup> f\u00fchrt zu einer Fehlermeldung.<\/p>\n

\n
\"\"<\/a><\/figure>\n<\/div>\n

Es sei erw\u00e4hnt, dass die ungewollte Aktivierung eines Vibrators aus rechtlicher Sicht als sexuelle N\u00f6tigung gewertet werden kann. Ist sp\u00e4testens auf den zweiten Blick logisch: Ob die betroffene Person mit einer menschlichen Hand direkt unerw\u00fcnscht ber\u00fchrt wird, oder durch ein ferngesteuertes Ger\u00e4t, spielt f\u00fcr die Bel\u00e4stigung keine entscheidende Rolle. Sonst w\u00e4ren Fernsteuerungen ja ein Freifahrtschein f\u00fcr Gesetzesbr\u00fcche und das in allen Bereichen.<\/p>\n

USB<\/h2>\n

Zwar haben diese F\u00e4lle nicht zwingend etwas mit USB zu tun. Die Meisten Hersteller haben so wenig auf Sicherheit geachtet, dass ihre Ger\u00e4te auch ohne USB fundamental unsicher geworden sind. Dennoch sollte man wissen: USB ist – wie das K\u00fcrzel es verspricht – eine universelle Schnittstelle. Das ist bequem, weil man sie f\u00fcr viele Aufgaben nutzen kann, statt auf unterschiedliche Technologien zu setzen. Allerdings hat das seinen Preis. Man kann sich nicht darauf verlassen, dass in einem propriet\u00e4ren USB-Ger\u00e4t wirklich das drin steckt, was drauf steht.13<\/a><\/sup><\/p>\n

Ein USB-Stick beispielsweise kann sich als Tastatur ausgeben und s\u00e4mtliche Eingaben mitschneiden – also ein Keylogger. Nat\u00fcrlich kann dieser auch Tasten senden, womit sich unbegrenzt Code ausf\u00fchren l\u00e4sst. Mit eSATA dagegen w\u00e4re das nicht m\u00f6glich, weil SATA spezifisch f\u00fcr Speicherger\u00e4te gemacht wurde. Ein Ger\u00e4t hat keine M\u00f6glichkeit, beim Anschluss dem PC zu sagen, es sei eine Tastatur und m\u00f6chte derart behandelt werden. Dies ist heutzutage das wohl gr\u00f6\u00dfte Problem.<\/p>\n

Anf\u00e4nglich waren verseuchte USB-Sticks nur f\u00fcr Windows-Nutzer gef\u00e4hrlich, weil es Microsoft erstmals mit Windows 95 f\u00fcr eine gute Idee hielt, dass CDs (und sp\u00e4ter USB-Sticks) per autorun.inf automatisch Exe-Dateien starten konnten.14<\/a><\/sup> Das wurde nat\u00fcrlich f\u00fcr Schadsoftware missbraucht: Man verteilt USB-Sticks und vertraut auf die Neugierde der Menschen. In einem Experiment aus dem Jahre 2016 schloss fast die H\u00e4lfte einen gefundenen USB-Stick am Computer an.15<\/a><\/sup> Bei Stuxnet geht man davon aus, dass die Sabotage des Atomkraftwerks durch einen eingeschleusten USB-Sticks erfolgte.16<\/a><\/sup> Jahre sp\u00e4ter hat Microsoft die Funktion standardm\u00e4\u00dfig abgeschaltet.<\/p>\n

Das \u00e4ndert aber nichts daran, dass USB-Ger\u00e4te eine Wundert\u00fcte sind. Daher ist es technisch absolut denkbar, einen kleinen USB-Speicher in Ger\u00e4ten wie Vibratoren einzubauen. Dazu k\u00f6nnte sich das Ger\u00e4t als Tastatur ausgeben, um die Schadsoftware zu starten. <\/p>\n

Fazit<\/h2>\n

Diese Beispiele zeigen: Geschlossene, Smarte<\/em> Ger\u00e4te sind ein potenzielles Sicherheitsrisiko.17<\/a><\/sup> Obwohl es sich hier um besonders sensible Ger\u00e4te handelt, k\u00fcmmern sich einige Unternehmen nicht mal um grundlegende Schutzma\u00dfnahmen – sondern sammeln sogar flei\u00dfig Daten. Manche ignorieren die M\u00e4ngel einfach – frei nach dem Motto: So lange genug naive Menschen das kaputte Zeug kaufen, ist das deren Problem, nicht unseres. Hier zeigt sich wieder mal, dass ohne Softwarem\u00e4ngelhaftung wohl leider nicht viel besser werden wird. Unternehmen denken an ihren Profit. So lange der flie\u00dft, wird wirksame Sicherheit gerne als unn\u00f6tiger Kostenfaktor betrachtet. Man sollte sich daher genau \u00fcberlegen, ob man derartige Ger\u00e4te wirklich braucht und man sich diesem Risiko aussetzen m\u00f6chte.<\/p>\n

Generell sollte man davon Abstand nehmen, zumindest USB-Ger\u00e4te am PC anzuschlie\u00dfen, die diesen gar nicht ben\u00f6tigen. Datenblocker k\u00f6nnen die zur Daten\u00fcbertragung vorgesehenen Leitungen unterbrechen<\/a>,18<\/a><\/sup> sodass technisch wirklich nur Strom flie\u00dfen kann. Am sichersten ist jedoch ein separates Ladeger\u00e4t<\/a> – dort laden viele Akkus ohnehin schneller, als an den meist limitierten Schnittstellen von PCs und Notebooks. Schlussendlich m\u00fcsst ihr dem Ger\u00e4t vertrauen, dass es sich um das handelt, was es behauptet. Das gilt \u00fcbrigens genau so f\u00fcr andere USB-Ger\u00e4te wie z.B. Smartphones.19<\/a><\/sup><\/p>\n

All diese Probleme sind real, weswegen es mMn. irrelevant ist, ob in diesem einen Fall der Dildo wirklich manipuliert\/verseucht war. Technisch ist das Beschriebene umsetzbar und es gab bereits einige schwere Sicherheitsm\u00e4ngel in der Branche – daher nutze ich diese Gelegenheit, um auf diese Risiken hinzuweisen, denen sich die Kunden aussetzen.<\/p>\n

Quellen<\/h2>\n
    \n
  1. https:\/\/archive.li\/PRTMK \u21a9\ufe0e<\/a><\/li>\n
  2. https:\/\/winfuture.de\/news,141423.html \u21a9\ufe0e<\/a><\/li>\n
  3. https:\/\/www.malwarebytes.com\/blog\/news\/2024\/02\/vibrator-virus-steals-your-personal-information \u21a9\ufe0e<\/a><\/li>\n
  4. https:\/\/www.reddit.com\/r\/Malware\/comments\/1asn02v\/malware_from_a_vibrator\/ \u21a9\ufe0e<\/a><\/li>\n
  5. https:\/\/t3n.de\/news\/sex-toy-spionagewerkzeug-hacker-734380\/ \u21a9\ufe0e<\/a><\/li>\n
  6. https:\/\/www.kaspersky.de\/blog\/insecure-vibrator\/8467\/ \u21a9\ufe0e<\/a><\/li>\n
  7. https:\/\/futurezone.at\/digital-life\/spionierender-vibrator-firma-muss-entschaedigung-zahlen\/251.433.869 \u21a9\ufe0e<\/a><\/li>\n
  8. https:\/\/futurezone.at\/digital-life\/hacker-uebernehmen-kontrolle-von-vibrator-mit-kamera\/256.252.588 \u21a9\ufe0e<\/a><\/li>\n
  9. https:\/\/media.ccc.de\/v\/35c3-9523-internet_of_dongs \u21a9\ufe0e<\/a><\/li>\n
  10. https:\/\/vibratissimo.com\/en\/ \u21a9\ufe0e<\/a><\/li>\n
  11. https:\/\/www.kaspersky.de\/blog\/35c3-insecure-sex-toy\/18375\/ \u21a9\ufe0e<\/a><\/li>\n
  12. https:\/\/www.vibratissimo.com\/index.html \u21a9\ufe0e<\/a><\/li>\n
  13. https:\/\/www.welt.de\/wirtschaft\/webwelt\/article130757294\/Jeder-USB-Stick-kann-zur-Cyber-Waffe-werden.html \u21a9\ufe0e<\/a><\/li>\n
  14. https:\/\/learn.microsoft.com\/en-us\/archive\/msdn-magazine\/2001\/november\/autoplay-in-windows-xp-automatically-detect-and-react-to-new-devices-on-a-system \u21a9\ufe0e<\/a><\/li>\n
  15. https:\/\/www.heise.de\/news\/Studie-Wuerden-Sie-einen-gefundenen-USB-Stick-anschliessen-3164154.html?wt_mc=rss.security.beitrag.atom \u21a9\ufe0e<\/a><\/li>\n
  16. https:\/\/www.attingo.de\/blog\/cyber-angriffe-ueber-manipulierte-usb-sticks\/ \u21a9\ufe0e<\/a><\/li>\n
  17. https:\/\/futurezone.at\/digital-life\/smart-home-geraete-sicherheit-iot-cyberkriminalitaet-it-s-now-katharina-krombholz-fh-campus-wien\/402482318 \u21a9\ufe0e<\/a><\/li>\n
  18. https:\/\/www.giga.de\/tipp\/usb-pinbelegung-a-b-c-micro\/ \u21a9\ufe0e<\/a><\/li>\n
  19. https:\/\/www.forbes.com\/sites\/suzannerowankelleher\/2020\/02\/24\/does-your-phone-charger-need-a-usb-condom-when-you-travel\/ \u21a9\ufe0e<\/a><\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"

    Wer nun irritiert ist: Seit einigen Jahren haben wir den Trend, dass alles Smart sein soll. Da d\u00fcrfen Vibratoren nat\u00fcrlich nicht fehlen. Smart hei\u00dft konkret meistens, in irgend einer Form mit anderen IT-Ger\u00e4ten verbunden. Mittlerweile zunehmend mit externen Cloud-Diensten. Strom bekommen sie dadurch allerdings nicht, hierf\u00fcr gibt es USB-Buchsen. Was prinzipiell ein sinnvoller Gedanke ist, …<\/p>\n","protected":false},"author":5,"featured_media":12787,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":"[{\"content\":\"https:\/\/archive.li\/PRTMK\",\"id\":\"f6c621d1-1603-460f-80d9-89f884fdc920\"},{\"content\":\"https:\/\/winfuture.de\/news,141423.html\",\"id\":\"23294f87-6cf4-4224-9a36-6eafde3dd859\"},{\"content\":\"https:\/\/www.malwarebytes.com\/blog\/news\/2024\/02\/vibrator-virus-steals-your-personal-information\",\"id\":\"b2f7ce60-07b8-4f7e-855b-1e0984d36921\"},{\"content\":\"https:\/\/www.reddit.com\/r\/Malware\/comments\/1asn02v\/malware_from_a_vibrator\/\",\"id\":\"e127625a-df4e-45be-ba16-092b4731335e\"},{\"content\":\"https:\/\/t3n.de\/news\/sex-toy-spionagewerkzeug-hacker-734380\/\",\"id\":\"65691b5a-9ca5-41be-a40d-33242607836f\"},{\"content\":\"https:\/\/www.kaspersky.de\/blog\/insecure-vibrator\/8467\/\",\"id\":\"63cc9293-b700-4d1e-b617-003c2b05e1ab\"},{\"content\":\"https:\/\/futurezone.at\/digital-life\/spionierender-vibrator-firma-muss-entschaedigung-zahlen\/251.433.869\",\"id\":\"1e3b5660-267a-4064-bb7b-48fb8e68b1a5\"},{\"content\":\"https:\/\/futurezone.at\/digital-life\/hacker-uebernehmen-kontrolle-von-vibrator-mit-kamera\/256.252.588\",\"id\":\"21b22070-4722-4972-9694-55ca5e9e0cff\"},{\"content\":\"https:\/\/media.ccc.de\/v\/35c3-9523-internet_of_dongs\",\"id\":\"2f1ffe8b-f422-490e-a04a-714311ce46dc\"},{\"content\":\"https:\/\/vibratissimo.com\/en\/\",\"id\":\"6992f8a6-0376-4a74-acc8-b7bbf82aebbb\"},{\"content\":\"https:\/\/www.kaspersky.de\/blog\/35c3-insecure-sex-toy\/18375\/\",\"id\":\"5ac44df8-7d75-4d82-8cc7-0cb596fed93f\"},{\"content\":\"https:\/\/www.vibratissimo.com\/index.html\",\"id\":\"e2930b76-a129-4988-87c4-2acf158193db\"},{\"content\":\"https:\/\/www.welt.de\/wirtschaft\/webwelt\/article130757294\/Jeder-USB-Stick-kann-zur-Cyber-Waffe-werden.html\",\"id\":\"6b305535-fdca-4327-8075-9832828d354e\"},{\"content\":\"https:\/\/learn.microsoft.com\/en-us\/archive\/msdn-magazine\/2001\/november\/autoplay-in-windows-xp-automatically-detect-and-react-to-new-devices-on-a-system\",\"id\":\"3d8c2233-be95-44ec-a2a5-7590483a2283\"},{\"content\":\"https:\/\/www.heise.de\/news\/Studie-Wuerden-Sie-einen-gefundenen-USB-Stick-anschliessen-3164154.html?wt_mc=rss.security.beitrag.atom\",\"id\":\"b5b88db6-4587-42ad-bdaa-66f1e9eee99b\"},{\"content\":\"https:\/\/www.attingo.de\/blog\/cyber-angriffe-ueber-manipulierte-usb-sticks\/\",\"id\":\"522224bd-eb10-4cfb-a448-1fc297e9fe4d\"},{\"content\":\"https:\/\/futurezone.at\/digital-life\/smart-home-geraete-sicherheit-iot-cyberkriminalitaet-it-s-now-katharina-krombholz-fh-campus-wien\/402482318\",\"id\":\"8d79a8fd-4a08-413a-ad0a-be09f30dff1d\"},{\"content\":\"https:\/\/www.giga.de\/tipp\/usb-pinbelegung-a-b-c-micro\/\",\"id\":\"c58d97f7-20bf-4394-b771-e5e8faec43c3\"},{\"content\":\"https:\/\/www.forbes.com\/sites\/suzannerowankelleher\/2020\/02\/24\/does-your-phone-charger-need-a-usb-condom-when-you-travel\/\",\"id\":\"ce1ebc60-1061-468f-b06a-d5090880b42e\"}]"},"categories":[1110,85],"tags":[],"class_list":["post-12758","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-gesellschaftliches","category-sicherheit"],"_links":{"self":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/12758","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/comments?post=12758"}],"version-history":[{"count":17,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/12758\/revisions"}],"predecessor-version":[{"id":12781,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/12758\/revisions\/12781"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media\/12787"}],"wp:attachment":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media?parent=12758"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/categories?post=12758"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/tags?post=12758"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}