Security of Smart Sex Toys – A State of the Art Analysis of Smart Sex Toys

Bachelor Studiengang IT Security

Doris Hauser, BSc

Betreuer: DI Daniel Haslinger, BSc.

Ausgangslage

In der heutigen Zeit steigt stetig die Anzahl an verwendeten Internet of Things (IoT) Geräten, darunter auch smarte Sex Toys. In den letzten Jahren gab es viele Analysen zur Sicherheit von verschiedensten IoT-Geräten, die Großteils schlechte Praktiken in der Branche aufgezeigt haben. Demnach smarte Sex Toys sowohl in die Kategorie Internet of Things als auch generell als Tabu-Thema angesehen werden wurden diese genauer in Sachen Sicherheit belichtet. 

Ziel

Ziel dieser Arbeit war es ein Bild vom aktuellen Stand in Sachen Sicherheit in dieser Branche zu erfassen. Im speziellen sollte untersucht werden welche technischen Methoden bei der Kommunikation zwischen den untersuchten Geräten und deren Herstellerservern verwendet werden, welche Mittel eingesetzt werden um den Transfer vor digitalen Angriffen zu schützen und was für persönliche Daten in Umlauf gebracht werden. 

Ergebnis

Es wurden in dieser Arbeit 4 smarte Sex Toys untersucht. Hierbei wurde entdeckt, dass alle dieser Hersteller unter anderem HTTPS zur Übermittlung der Daten verwenden. Einige Daten werden jedoch immer noch in Klartext per HTTP übertragen, was es Angreifern sehr leicht macht abgefangene Daten zu lesen. Weiters wurden bei den Geräten unterschiedliche Schwachstellen gefunden. Eine dieser Schwachstellen war die Möglichkeit jegliche Namen von Benutzeraccounts auflisten zu können.

Eine weitere war die Übertragung der Logindaten bei jeder übermittelten Nachricht anstatt der Verwendung eines Tokens, die das Auslesen von Benutzernamen und Passwörtern erschweren würde. Weiters wurde in keiner der Apps eine Methode eingesetzt, die es verhindert, dass sich ein Angreifer als Hersteller ausgibt und die App somit persönliche Daten an den Angreifer sendet. Es wurde ebenfalls erfasst was für personenbezogene Daten von jedem Gerät erhoben wurden und welche Risiken dies birgt.

Ergebnis

Alles in allem muss in dieser Branche noch mehr Awareness geschaffen werden über die Wichtigkeit von Sicherheit, besonders für Geräte, die sensible Daten in Umlauf bringen. Dieser Sektor bedarf noch mehr Forschung und der Zusammenarbeit zwischen Experten und Herstellern, um in Zukunft die Sicherheit solcher Geräte auf den neuesten Stand zu bringen.