Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

ESET: twee draagbare bluetooth-seksspeeltjes waren vatbaar voor MiTM-aanvallen

Beveiligingsonderzoekers van ESET ontdekten dat twee populaire draagbare seksspeeltjes vatbaar waren voor man-in-the-middle-aanvallen. De We-Vibe Jive en de Lovense Max Masturbator vroegen niet om verificatie of authenticatie voor de Bluetooth Low Energy-verbindingen.

Beide seksspeeltjes, volgens ESET populaire apparaten, gebruikten de 'just works'-pairingmethode. Daarbij gebruikten ze volgens ESETs whitepaper tijdens het pairen het cijfer nul als tijdelijke sleutel. Ieder Jive- en Max-apparaat zou daardoor pairen met ieder apparaat dat met de seksspeeltjes wilde pairen. Kwaadwillenden konden op die manier de commando's naar de seksspeeltjes onderscheppen en deze uitlezen. Deze kwaadwillenden konden bijvoorbeeld zien wanneer een seksspeeltje werd geactiveerd en wat deze moest doen. Tegelijkertijd konden deze seksspeeltjes met de MiTM-aanval worden overgenomen, waarbij de aanvallers zelf commando's konden sturen naar de speeltjes.

ESET vond daarnaast beveiligings- en privacyproblemen die specifiek bij een van de twee apparaten horen. Wanneer de Jive bijvoorbeeld niet via bluetooth was verbonden met een ander apparaat, probeerde deze continu met een apparaat te pairen. Daarbij identificeerde het apparaat zichzelf als een Jive. Wanneer de smartphoneapp wordt gesloten, wordt ook meteen de verbinding met het apparaat verbroken en zoekt de Jive dus openlijk naar een ander apparaat.

Dit betekende dat een kwaadwillende met een bluetooth-scanner op zoek zou kunnen gaan naar Jive-apparaten. De Jive is ontworpen om gedurende de dag en in het openbaar gedragen te kunnen worden. Kwaadwillenden konden dus met een bluetooth-scanner op basis van de bluetooth-sterkte een Jive-drager lokaliseren. Deze kwaadwillenden konden tevens met de Jive-app of via een webapp verbinding zoeken met de Jive en deze besturen.

Daarnaast waren er bij de Jive problemen binnen de We-Connect-app waarmee gebruikers foto's onderling kunnen delen. Bij deze foto's werd namelijk metadata als locatie en smartphonemodel meegestuurd. Op die manier konden gebruikers de makers van die foto's lokaliseren. De viercijferige pincode die deze app gebruikte was daarnaast makkelijk te brute-forcen door het gebrek aan een al dan niet tijdelijke blokkade wanneer foute codes werden ingevoerd.

De Lovense Max kende vooral problemen met de Lovense Remote-app. Bij deze app zit een chatapp waarmee gebruikers foto's en tekst naar elkaar kunnen sturen. Gebruikers konden foto's die ze binnenkregen doorsturen naar andere gebruikers, zonder dat de maker daar iets tegen kon doen of daar een notificatie van kreeg. Ontvangen foto's waren daarnaast te downloaden. De app kende ook geen verwijderfunctie waarbij berichten en foto's voor beide gesprekspartners werden verwijderd, zoals andere chatapps wel kennen. Wanneer een gebruiker een gesprekspartner blokkeerde, had deze partner ook nog steeds toegang tot alle berichten en bestanden. Tevens blokkeerde de app screenshots niet en werden foto's alleen met https beveiligd en niet met eind-tot-eindversleuteling. Chatpartners werden binnen xml-bestanden daarnaast geïdentificeerd met het mailadres dat ze gebruikten om het account aan te maken. Op die manier konden 'anonieme' gebruikers alsnog geïdentificeerd worden.

De laatste twee Max-problemen draaiden om een deelfunctie en de updates. Gebruikers konden een url aanmaken waarmee andere gebruikers de controle van het apparaat over konden nemen. Deze url konden de gebruikers delen via bijvoorbeeld een chatapp. De identificatietoken in deze url bestond echter uit vier tekens en kon dus gebruteforced worden. ESET ontwikkelde een Firefox-extension die dit automatisch deed en wist op die manier een verbonden Max te vinden. Deze url zou na een halfuur deactiveren, al bleken sommige url's nog dagenlang actief te blijven. Tot slot bleek het eenvoudig om de firmware van de Max te updaten met malafide code.

De twee seksspeeltjes zijn vibrerende seksspeeltjes, waarbij de Jive voor vrouwen is bedoeld en de Max voor mannen. De fabrikanten van de twee apparaten zeggen de fouten die ESET opspoorde te hebben opgelost. De Jive is in augustus gefixt met We-Connect-versie 4.4.1. De lekken in de Max zijn met Lovense Remote-appversie 3.8.6 gedicht. Deze kwam op 27 juni beschikbaar.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Hayte Hugo

Nieuwsredacteur

11-03-2021 • 21:18

87 Linkedin

Submitter: himlims_

Reacties (87)

Wijzig sortering
Ik vind het gebrek aan bluetooth authenticatie niet echt een vreselijk groot probleem. De meeste mensen gebruiken dit soort speeltjes thuis. Dan is het ergste wat je kan gebeuren dat iemand je blij maakt met wat extra vibraties. Zeker gezien het beperkte bereik van bluetooth. Het is maar speelgoed... En je wil tijdens het spelen ook niet al te veel technische dingen uit hoeven te vogelen want dat haalt de lol er uit.

Vergeet niet, tot de tijd van bluetooth speeltjes had je ook al speeltjes die met 433Mhz radio's werkten (van dat klik aan klik uit spul) en die waren ook gewoon te faken. Is nooit echt een probleem geweest.

Die versie voor mannen NSFW draag je sowieso niet ongemerkt op de werkvloer. Die voor vrouwen inderdaad wel, maar ook die kun je wel horen. Ik kan me niet voorstellen dat mensen dat veel doen (tenzij hun werk het gebruik van dit soort spullen inhoudt zoals camdames :) ). En de mensen die het wel doen zullen er ook wel rekening mee houden dat het ontdekt kan worden.

De zwakheden in de app vind ik daarentegen wel een stuk schadelijker omdat het daar ook om foto's en chats gaat. maar die is gelukkig makkelijk aan te passen, wat je bij de hardware nog maar moet afwachten.

[Reactie gewijzigd door GekkePrutser op 11 maart 2021 22:03]

Tja, cybercrime of zedendelict?

Zo'n apparaat voldoet niet aan de juridische definitie van een "geautomatiseerd werk" omdat je er geen gegevens mee kan verwerken en opslaan. Er lijkt mij dus geen sprake van het wederrechtelijk toegang verschaffen tot een geautomatiseerd werk (computervredebreuk). Valt het activeren van zo'n apparaat onder een seksuele handeling? Ik zou zeggen van wel, dus als je hiermee gaat lopen klieren kan je sex tegen de wil ten laste worden gelegd. Goed opletten dus, een zeden misdrijf staat niet best op je cv en misstaat in de ogen velen van zelfs op een strafblad.

[Reactie gewijzigd door ErwinPeters op 12 maart 2021 11:05]

De meeste mensen gebruiken dit soort speeltjes thuis.
Bron?
Nou waar denk je dat de meeste mensen hun erotische activiteiten uitvoeren? Thuis of op het werk? :)

Even professionals als camdames uitgezonderd natuurlijk (en laat dit een grote markt zijn voor dit soort speeltjes). Maar daarbij is een bluetooth kwetsbaarheid niet zo relevant in verband met de afstand.

[Reactie gewijzigd door GekkePrutser op 11 maart 2021 22:54]

Ooit in een gekke bui zo'n ding gekocht. Was weinig effectief maar wel leuk om "mee naar buiten" te nemen om op een onverwacht moment aan te zetten.
Ik denk dat jij niet wil weten waar sommige mensen hun activiteiten allemaal verrichten. Hoewel de meerderheid wel thuis zal zijn is het nog altijd zo dat er heel veel buiten de deur gerommeld wordt, en dat het gewoon lullig is (ba-dum-tss) dat deze verbinding niet beveiligd is.

Blijkbaar hebben ze bij die fabrikant niet veel op met safe sex.

Okay, I'll stop now :X
Stoppen op je hoogtepunt
Deze zijn echt wel gemaakt om buitenshuis te gebruiken, en merendeel van de mensen die ik ken gebruiken hem ook enkel buitenshuis tijdens een uitstapje naar een pretpark, restaurant of naar de kerk.
Zelf heb ik ook een wevibe, en nu de app niet meer in de playstore staat is er zelfs geen update meer mogelijk om hem te updaten. Je kan enkel nog de APK sideloaden om de laatste versie te gebruiken, anders kan je er niets meer mee.
Zeker een aan zekerheid grenzende waarschijnlijkheid.

Maar deze site blijft mensen trekken (pun intended) die heet worden van interessant doen en discussies uitlokken omwille daarvan.

Bron? Je eigen reactie.
De zin is een beetje dubbelzinnig. Ik denk niet dat hij bedoelt dat de meeste mensen dit gebruiken, maar dat áls het gebruikt wordt, het meestal thuis is ;) En dat lijkt me best aannemelijk.
Teledildonics: the use of virtual reality or the internet to mediate sexual interaction, especially by means of haptic devices used to produce or replicate physical sensations or (in later use) electronic sex toys that can be controlled remotely over the internet.
Wat een wereld leven we toch in
Ach 20 jaar geleden hadden we al “fufme” :p

Dit is gewoon een handiger versie
Sinds er geen 5.25" slut slot meer in de huidige laptops, foons en tablets past is dit een logisch vervolg. ;)
Niet zo heel gek met de enorme toename aan long distance relationships, mensen die meer en meer reizen voor hun werk en nu de afstand die er tussen sommige mensen is vanwege covid.
Het woord van 2021 is bekend. We kunnen de inschrijving sluiten.
Laten we het 'teledildonica' noemen om de Neerlandici niet tegen de haren in de strelen, en dan hebben we een winnaar. _/-\o_
Seksspeeltjes die proberen te paren... :Y)
En dan geen opmerking over een man-in-the-middle? :P
Idd, waarom moet het steeds een man zijn? Ik pleit voor quota om meer woman-in-the-middle toe te laten!
Dit kan, anno 2021, echt niet meer!!

/flauw :)

[Reactie gewijzigd door Myri op 12 maart 2021 08:35]

*wat zelfcensuur was gepast door mijn beroepsdeformatie*

Beter te halve gekeerd dan te hele gedwaald...

[Reactie gewijzigd door ErwinPeters op 12 maart 2021 15:57]

Is normaal ook niet zo makkelijk met 'blauwe tanden'
Paart beter dan een blauwe wafel.
Blijf jij eens uit mijn personal area network. :P
Dit doet me denken aan een bericht van vorig jaar op Vice van een gast die vast zat in Smart Chastity Cage. :+
Dit bericht had ik toevallig ook gelezen. Ik zou er zelf niet aan moeten denken als dit bij jezelf zou gebeuren haha :P Dat ding krijg je dan vast niet meer af zolang deze gelockt is. Dan vind ik de hack uit het nieuwsartikel van Tweakers nog niet zo heel ernstig (natuurlijk is een beveiligingslek en dat iets gehackt wordt nooit goed).
Heel veel electrische sloten zijn/waren onveilig. Een replay attack is redelijk eenvoudig. Heb ook wel eens getest met een RPi.
Ook APIs zijn vaak onveilig. Ik kon bij een slot dus gewoon de keys van andere personen opvragen. Wel gerapporteerd natuurlijk.
Doet me denken aan deze talk op DEF CON 27 over een wormable vulnerability in dezelfde Lovense software - hopelijk is die ook gefikst ondertussen..
Could be worse:
https://www.bleepingcompu...-their-iot-chastity-belt/

Users of the Bluetooth-controlled Qiui Cellmate chastity device were targets of an attack with this malware last year after security researchers found a vulnerability in the toy that allowed locking it remotely.

Victims were asked to pay 0.02 bitcoins, around $270 at the time of the attacks.

[Reactie gewijzigd door hellbringer op 11 maart 2021 23:05]

Zoals ze vaker zeggen, the S in IoT stands for security.
Die kreet kende ik nog niet ;) , maar het principe was mij wel bekend
Is Buttplug.io daardoor een veilig alternatief of mis ik iets hier
Dit geeft “man in the middle” een heel ander perspectief

/flauwmodus
Eerste waar ik aan dacht! +1
Hahahaha 🤭🤭🤭
Beide seksspeeltjes, volgens ESET populaire apparaten, gebruikten de 'just works'-pairingmethode.
Just works. Anyone, anywhere, anytime... O-)
With everyone. :+
Tja, cuckolding is een populaire fantasie/bezigheid...

(link is SFW :))

[Reactie gewijzigd door Randfiguur op 11 maart 2021 23:42]

+3 voor onmisbaar. Deze moest gemaakt worden.
De Jive is ontworpen om gedurende de dag en in het openbaar gedragen te kunnen worden. Kwaadwillenden konden dus met een bluetooth-scanner op basis van de bluetooth-sterkte een Jive-drager lokaliseren. Deze kwaadwillenden konden tevens met de Jive-app of via een webapp verbinding zoeken met de Jive en deze besturen.
Ik hoor het de leverancier al zeggen: “it’s not a bug, it’s a feature” :Y)
Hackers die lopen te kutten....
Penetration testers? ;)
Het is jammer dat de +1 grappig categorie is verdwenen want die had je wel verdiend :)

Het zou ook wel leuk zijn als de redacteuren hier wel eens een grapje over maken. Net zoals bijvoorbeeld Beth Mole altijd doet op Ars Technica.

[Reactie gewijzigd door GekkePrutser op 11 maart 2021 23:01]

Haha thanks :) Beth is briljant, als ik zo'n artikel lees dan scroll ik na de eerste twee woordspelingen altijd even omhoog; en in 9 vd 10 gevallen: ja hoor, geschreven door Beth.

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True