ESET: twee draagbare bluetooth-seksspeeltjes waren vatbaar voor MiTM-aanvallen

Beveiligingsonderzoekers van ESET ontdekten dat twee populaire draagbare seksspeeltjes vatbaar waren voor man-in-the-middle-aanvallen. De We-Vibe Jive en de Lovense Max Masturbator vroegen niet om verificatie of authenticatie voor de Bluetooth Low Energy-verbindingen.

Beide seksspeeltjes, volgens ESET populaire apparaten, gebruikten de 'just works'-pairingmethode. Daarbij gebruikten ze volgens ESETs whitepaper tijdens het pairen het cijfer nul als tijdelijke sleutel. Ieder Jive- en Max-apparaat zou daardoor pairen met ieder apparaat dat met de seksspeeltjes wilde pairen. Kwaadwillenden konden op die manier de commando's naar de seksspeeltjes onderscheppen en deze uitlezen. Deze kwaadwillenden konden bijvoorbeeld zien wanneer een seksspeeltje werd geactiveerd en wat deze moest doen. Tegelijkertijd konden deze seksspeeltjes met de MiTM-aanval worden overgenomen, waarbij de aanvallers zelf commando's konden sturen naar de speeltjes.

ESET vond daarnaast beveiligings- en privacyproblemen die specifiek bij een van de twee apparaten horen. Wanneer de Jive bijvoorbeeld niet via bluetooth was verbonden met een ander apparaat, probeerde deze continu met een apparaat te pairen. Daarbij identificeerde het apparaat zichzelf als een Jive. Wanneer de smartphoneapp wordt gesloten, wordt ook meteen de verbinding met het apparaat verbroken en zoekt de Jive dus openlijk naar een ander apparaat.

Dit betekende dat een kwaadwillende met een bluetooth-scanner op zoek zou kunnen gaan naar Jive-apparaten. De Jive is ontworpen om gedurende de dag en in het openbaar gedragen te kunnen worden. Kwaadwillenden konden dus met een bluetooth-scanner op basis van de bluetooth-sterkte een Jive-drager lokaliseren. Deze kwaadwillenden konden tevens met de Jive-app of via een webapp verbinding zoeken met de Jive en deze besturen.

Daarnaast waren er bij de Jive problemen binnen de We-Connect-app waarmee gebruikers foto's onderling kunnen delen. Bij deze foto's werd namelijk metadata als locatie en smartphonemodel meegestuurd. Op die manier konden gebruikers de makers van die foto's lokaliseren. De viercijferige pincode die deze app gebruikte was daarnaast makkelijk te brute-forcen door het gebrek aan een al dan niet tijdelijke blokkade wanneer foute codes werden ingevoerd.

De Lovense Max kende vooral problemen met de Lovense Remote-app. Bij deze app zit een chatapp waarmee gebruikers foto's en tekst naar elkaar kunnen sturen. Gebruikers konden foto's die ze binnenkregen doorsturen naar andere gebruikers, zonder dat de maker daar iets tegen kon doen of daar een notificatie van kreeg. Ontvangen foto's waren daarnaast te downloaden. De app kende ook geen verwijderfunctie waarbij berichten en foto's voor beide gesprekspartners werden verwijderd, zoals andere chatapps wel kennen. Wanneer een gebruiker een gesprekspartner blokkeerde, had deze partner ook nog steeds toegang tot alle berichten en bestanden. Tevens blokkeerde de app screenshots niet en werden foto's alleen met https beveiligd en niet met eind-tot-eindversleuteling. Chatpartners werden binnen xml-bestanden daarnaast geïdentificeerd met het mailadres dat ze gebruikten om het account aan te maken. Op die manier konden 'anonieme' gebruikers alsnog geïdentificeerd worden.

De laatste twee Max-problemen draaiden om een deelfunctie en de updates. Gebruikers konden een url aanmaken waarmee andere gebruikers de controle van het apparaat over konden nemen. Deze url konden de gebruikers delen via bijvoorbeeld een chatapp. De identificatietoken in deze url bestond echter uit vier tekens en kon dus gebruteforced worden. ESET ontwikkelde een Firefox-extension die dit automatisch deed en wist op die manier een verbonden Max te vinden. Deze url zou na een halfuur deactiveren, al bleken sommige url's nog dagenlang actief te blijven. Tot slot bleek het eenvoudig om de firmware van de Max te updaten met malafide code.

De twee seksspeeltjes zijn vibrerende seksspeeltjes, waarbij de Jive voor vrouwen is bedoeld en de Max voor mannen. De fabrikanten van de twee apparaten zeggen de fouten die ESET opspoorde te hebben opgelost. De Jive is in augustus gefixt met We-Connect-versie 4.4.1. De lekken in de Max zijn met Lovense Remote-appversie 3.8.6 gedicht. Deze kwam op 27 juni beschikbaar.