Onderzoekers vinden beveiligingslekken in wifivibrator met camera

Onderzoekers van de beveiligingsbedrijf Pen Test Partners hebben meerdere beveiligingslekken blootgelegd bij een internet-of-thingsvibrator die is uitgerust met een camera. De vibrator blijkt eenvoudig te hacken waarbij er onder meer toegang kan worden verkregen tot de videostreams.

De vibrator, de Svakom Siime Eye, kost omgerekend 233 euro en bevat een ingebouwde 0,3 megapixelcamera waarmee gebruikers zowel foto's als video's kunnen opslaan of kunnen streamen via het internet. Als een kwaadwillende zich binnen het wifibereik van de vibrator bevindt en het wachtwoord kan raden, kunnen de beelden al worden bekeken. Met iets meer moeite lukte het de onderzoekers om toegang toe krijgen tot de firmware. Dit hebben de onderzoekers op hun website bekendgemaakt.

Het apparaat werkt via een simpele app en is tegelijk een accesspoint. Met het standaardwachtwoord '88888888' kon er worden ingelogd. Vervolgens kon er vrij eenvoudig toegang worden verkregen tot de webserver, via de gebruikersnaam 'admin' en een leeg wachtwoordveld. De onderzoekers benadrukken dat deze credentials in de code van de app zijn verwerkt, waardoor een gebruiker deze informatie normaal gesproken niet zo snel zal veranderen.

Via reverse engineering bleken de onderzoekers ook in staat om roottoegang te krijgen. Daarmee konden de onderzoekers draadloos toegang krijgen tot de vibrator, ook buiten het wifibereik. Via de roottoegang kwamen de onderzoekers op basis van bepaalde configuratiedata tot het vermoeden dat de vibrator een verborgen functionaliteit heeft om verbinding te maken met Skype, e-mails te versturen en dns-instellingen aan te passen.

Meerdere connecties bleken probleemloos te worden toegelaten. De onderzoekers slaagden er ook in om gebruikers van de vibrator te lokaliseren door de statische naam van het accesspoint, die voor iedereen te zien is.

De maker Svakom heeft niet gereageerd op de bevindingen van Pen Test Partners. Het beveiligingsbedrijf heeft tot drie keer toe melding gemaakt van de zwakke beveiliging, maar een reactie van Svakom bleef uit. Daarop besloten de onderzoekers hun bevindingen te publiceren. Ze roepen gebruikers op om contact op te nemen met Svakom en een complex wifiwachtwoord te kiezen.

Dit apparaat is niet de eerste vibrator waarbij een beveiligingsprobleem speelt. Enkele weken geleden stelde de Canadese fabrikant van de 'connected vibrator' We-Vibe een schikkingbedrag van 3,5 miljoen euro beschikbaar voor consumenten die het apparaat hebben gekocht. Zonder toestemming zouden onder meer de instellingen van de vibrator, de accuduur en de temperatuur zijn doorgestuurd.

IT-banen

Reacties (118)

aliberto 3 april 2017 20:20

Dus in theorie zou jij zonder dat je het weet als eindgebruiker zo op een xtube kunnen belanden als men kwade bedoelingen heeft. Dan verdiend een 18+ site aan jouw privé handelingen. Kwalijke zaak lijkt me

0.3 mega pixels is niet super veel qua beeldkwaliteit maar toch het idee dat het mogelijk is.

[Reactie gewijzigd door aliberto op 22 juli 2024 18:49]

King4589 @aliberto • 3 april 2017 21:09

0.3 was op de eerste mobieltjes geweldig en jaren lang voldoende voor MSN.

Ik ben voornamelijk benieuwd hoe ze het beeld stabiel weten te houden. Zal wel een enorme digitale stabilisator buffer in zitten

dj__jg @King4589 • 3 april 2017 22:53

0.3 MP camera en dan wel ingewikkelde trillingsstabilisatie zeker? _{(al is frequentie van de trilmotor op een vibrator ws wel constant, zou het makkelijker kunnen maken)}

Ik denk dat ze daar gewoon niets aan gedaan hebben, en dat je met dat ding dus geen kut kan zien als ie aanstaat.

Urk

@dj__jg • 4 april 2017 04:05

Ik denk dat je best wel een kut kunt zien

equit1986 @Urk • 4 april 2017 09:31

't is alleen een beetje trillerig beeld?

Verwijderd @equit1986 • 4 april 2017 09:55

Nee, in zijn geheel k.u.t. beeld... :-)

LessRam @aliberto • 3 april 2017 22:42

0.3 miljoen mega pixels is niet super veel qua beeldkwaliteit maar toch het idee dat het mogelijk is.

Ik wou dat ik ze op mijn telefoon had!
300.000 mega pixel

aliberto @LessRam • 3 april 2017 22:43

lol je hebt gelijk, zal het gelijk aanpassen

janbaarda @aliberto • 4 april 2017 05:53

Gelukkig ben je dan niet zo herkenbaar ...

Je moet natuurlijk niet op je hoofd richten!

Lijkt mij niet veel interessant beeldmateriaal op te leveren, wordt al gauw saai.

Commander Vimes @aliberto • 4 april 2017 17:15

0,3 megapixel is hier met recht een k#tresolutie te noemen.

Udrene 3 april 2017 20:15

Een echte selfie stick!

Zucht... Waarom?

Edit: onder het mom van "ik heb niks te verbergen" maar een camera in je vibrator.

Daaaag privacy!

[Reactie gewijzigd door Udrene op 22 juli 2024 18:49]

Anonymoussaurus

Security

@Udrene • 3 april 2017 20:20

Zoals er staat:

Via de root-toegang kwamen de onderzoekers op basis van bepaalde configuratiedata tot het vermoeden dat de vibrator een verborgen functionaliteit heeft om te verbinden met Skype, emails te versturen en DNS-instellingen aan te passen.

Ik vind het alsnog nutteloos. 0,3 (!) megapixel camera... Als je iets wilt filmen van jezelf, kun je dat beter met je telefoon doen. Veiliger, én een betere camera.

jimzz @Anonymoussaurus • 3 april 2017 20:28

0.3 zelfs volgens het artikel, dat is vergelijkbaar met de eerste camera's op smartphones.

Anonymoussaurus

Security

@jimzz • 3 april 2017 20:29

0,3 inderdaad. Geen idee hoe ik bij 0,8 kom, ik ben moe

DigitalExorcist @jimzz • 3 april 2017 21:05

640x480 toch?

janbaarda @jimzz • 4 april 2017 05:57

Ja een telefoon heeft tenslotte ook een trilfunctie.

cemtex @Anonymoussaurus • 3 april 2017 20:26

Zoals er staat: ..... bevat een ingebouwde 0,3 megapixelcamera waarmee gebruikers zowel foto's als video's kunnen opslaan of kunnen streamen via het internet.

Anonymoussaurus

Security

@cemtex • 3 april 2017 20:28

Ja, dat ook, maar je kunt er dus ook andere dingen mee doen.

AeoN909 @Anonymoussaurus • 3 april 2017 21:04

Eens je hebt volgens mij meer aan een camera met een nachtstand. Lijkt me een vrij donker gat....
Of zit er een led in?

dakathefox @AeoN909 • 3 april 2017 21:44

Al vrij vroeg in het filmpje zie je dat de onderzoeker de voorkant van het apparaat richt op de camera. Een lampje is dan duidelijk zichtbaar.

dasiro @Anonymoussaurus • 3 april 2017 23:21

geen idee of je je telefoon ook in al je lichaamsopeningen wil proppen en er daarna nog rustig mee bellen of rondzeulen

Ethelind @dasiro • 4 april 2017 00:08

Met een Samsung Galaxy s7 of s7 efte is dat goed te doen.
Waterdicht dus ook nog eens af te spoelen onder de kraan.

fverhoef @Ethelind • 4 april 2017 08:35

Met de Note kan je ook nog eens een explosieve reactie krijgen.... weer eens wat anders

Thonz @Anonymoussaurus • 3 april 2017 21:31

Ik acht de kans hoog dat wanneer dit succesvol wordt onder chicks achter de webcam, volgt een hogere resolutie variant snel. Dit is redelijk innovatief en ik zie het nog wel succesvol worden.

stresstak @Anonymoussaurus • 3 april 2017 21:38

Als je iets wilt filmen van jezelf, kun je dat beter met je telefoon doen. Veiliger, én een betere camera.

Twee camera's, had ik begrepen. Ik heb geen telefoon.
Telefoon, die overigens ook wel ingebracht wordt door sommigen.

Blackouts @Anonymoussaurus • 3 april 2017 21:55

En die telefoon heeft ook nog een trilfunctie.

win-win

Crazy Harry @Blackouts • 4 april 2017 00:46

ehh, het ding heet 'vibrator'...

Goldwing1973 @Anonymoussaurus • 3 april 2017 20:42

Yup, veiliger, verklaar dan thefappening eens?

Anonymoussaurus

Security

@Goldwing1973 • 3 april 2017 21:12

Dat heeft niets meer met een telefoon te maken, aangezien dat gewoon werd gedaan met social engineering. Dat staat hier totaal los van.

Verwijderd @Goldwing1973 • 4 april 2017 00:59

TheFappening was het ultieme voorbeeld van wat er gebeurt als je je geboortedatum als ww gebruikt

bones @Verwijderd • 4 april 2017 06:09

Niet als wachtwoord maar als wachtwoord vergeten beveiligingsvraag.

skatebiker @Anonymoussaurus • 4 april 2017 08:35

Zoals er staat:

[...]

Ik vind het alsnog nutteloos. 0,3 (!) megapixel camera... Als je iets wilt filmen van jezelf, kun je dat beter met je telefoon doen. Veiliger, én een betere camera.

Ik dacht het niet. Zolang alles open staat (dat is standaard zo, de meeste apps kunnen bij je foto's en kunnen internet op wat bij bijna iedereen 24/7 aan staat) is dat zeker niet veiliger.

ManiacsHouse @Udrene • 3 april 2017 22:46

Correctie: selfie dick

Cyrusx @Udrene • 3 april 2017 22:49

Ik zie ze al zo'n ding terug brengen en door zo'n klantenservice en service&repair afdeling gaan omdat ze hem 'gebricked' hebben.

gekkie 3 april 2017 20:13

't idee was dat je zelf zou euhmm "Pen-testen" ?

Ample Energy @gekkie • 3 april 2017 20:17

Ik vind het knap. Bij de laatste penetratietest die ik uitvoerde vond ik maar 3 gaten.

gekkie @Ample Energy • 3 april 2017 20:24

Mjah .. als de pen-tester in deze nou alleen een beetje nattigheid voelde, maar het bleek dus een heus lek .. iets te veel van het goede.

Ample Energy @gekkie • 3 april 2017 20:28

Ach, gewoon even contact opnemen met je Chinese verkopers, want "we will do our best to satisfy you".

Anonymoussaurus

Security

@Ample Energy • 3 april 2017 20:44

Ja, en hoe?

LessRam 3 april 2017 22:49

Als een kwaadwillende zich binnen het wifi-bereik van de vibrator bevindt, en het wachtwoord kan raden, kunnen de beelden al worden bekeken.

Shit mijn wifi is ook onveilig!
Als iemand hier in huis binnen wifi bereik, en het wachtwoord weet te raden dan kan hij zomaar verbinding maken.

Maar wel leuk sensatie bericht,
morgen in De Telegraaf?

Enai @LessRam • 4 april 2017 02:47

Het verschil is dat dit wachtwoord hardcoded is en dus voor de eigenaar amper tot niet aan te passen.

Dit is opnieuw maar eens een IoT-device dat te hacken valt en te misbruiken voor een DDoS (of in dit geval gewoon voor afpersing). Wanneer gaan we eens de fabrikanten verantwoordelijk houden?

Origin64 @Enai • 4 april 2017 10:47

Wanneer gaan we de consument verantwoordelijk houden? Als je die troep koopt, koop je ook de consequenties.

Enai @Origin64 • 4 april 2017 11:23

De consument zou niet moeten weten of en hoe zijn internet enabled stofzuiger of douchekop gevoelig kan zijn voor [insert technical terms] attacks.

Dat is alsof je de koper van een VW verantwoordelijk wil stellen voor de sjoemelsoftware.

Origin64 @Enai • 4 april 2017 21:24

Mensen die in die periode een dikke vw met lage bijtelling hadden hebben zelf waarschijnlijk wel ervaren dat het brandstofverbruik slechter was dan geadverteerd.

Crp 3 april 2017 20:17

"Pokin' around with it" wise choice of words

dakathefox @Crp • 3 april 2017 21:43

Haha, de Engelse taal is zo geweldig :-)

TJRef 3 april 2017 20:23

Het is dus wachten op een vernieuwende plugin voor kodi zo te lezen...

Indoubt @TJRef • 3 april 2017 21:22

Plug waar in?

Crazy D 3 april 2017 20:40

Ik weet niet of ik nu verbaast ben dat een dildo met camera erin een wifi accesspoint is, en kan connecten met skype voor live streaming, of dat het ding zo eenvoudig te hacken is.... Ik begin wel een generatiekloof gevoel te krijgen. Een dildo. Met camera. Met live internet stream.
(en dan ook nog eens een waanzinnige 0,3mpixel camera ook.... als je al aan alle criteria voldoet dat je dit zou willen filmen en beschikbaar zou willen stellen op internet, en iemand wil het dan ook nog eens een keertje bekijken... doe dan een kwaliteit zodat je ook iets kunt zien...).

Xessive @Crazy D • 3 april 2017 22:10

Er zit wel een LEDje op

MIster X 3 april 2017 21:07

Het speeltje kost bij Bol.com € 157,49.

Op de één of andere manier vermoed ik dat de doelgroep van "een vibrator met een camera en toegang tot internet" niet heel veel geeft om privacy.

Enai @MIster X • 4 april 2017 02:41