[English]Eine Geschichte, die einem die Tränen in die Augen treibt. Sicherheitsforscher haben festgestellt, dass das Cellmate Keuschheitsschloss für Männer hackbar ist. Das kann von Hackern für immer geschlossen/gesperrt werden, kein Weg zurück. Eh Mann, haste mal einen Bolzenschneider …
Anzeige
Hat mich fast aus dem Schreibtisch-Sessel gefegt, als ich vor einigen Stunden den Tweet von Pen Test Partners und deren Meldung gelesen habe. Mir war das Thema 'chastity lock cock-up' zwar theoretisch bekannt. Ich wusste aber nicht, dass es so etwas auch elektronisch als IoT-Variante und mit App gibt (werde wohl doch langsam alt).
(Cellmate (chastitiy lock cock up) IoT-Hack)
Nein, es geht nicht um einen Halter für Karotten, sondern um ein Keuschheitsschloss ('chastity lock cock-up') aus dem Bereich 'Erotik-Spielzeuge'. Cellmate wollte ganz besonders fortschrittlich sein und hat das als Internet of Things elektronisch kontrollierbar gemacht. Hier die 'Highlights':
- Es ist ein Keuschheitsgerät der besonderen Art, dass einen Bluetooth (BLE)-fähigen Sperrmechanismus besitzt.
- Mit einer begleitenden Mobilgeräte-App erhält ein Partner die Kontrolle über das Schloss und kann den Träger beeinflussen.
Egal wie man zu diesem Thema steht, Käufer oder Träger sollten in der Lage sein, diese Geräte sicher und geschützt zu benutzen, ohne das Risiko, dass sensible persönliche Daten publik werden. Die Sicherheitsforscher haben sich daher dieses Spielzeug vorgenommen und auf seine IT-Sicherheit untersucht (nachdem Sicherheitsmängel bei Remote steuerbaren Dildos bekannt wurden, ist das naheliegend). Ist dann sozusagen eine heiße Geschichte herausgekommen. Das folgende Video zeigt einige Details.
Anzeige
(Quelle: YouTube)
Die Sicherheitsforscher entdeckten, dass ein Angreifer das Öffnen des Bluetooth-Schlosses verhindern und den Träger des Keuschheitsschlosses mit seinem Gemäch dauerhaft mit dem Gerät einsperren kann. Es gibt dann keine Möglichkeit mehr, das Gerät zu entsperren. Da hilft nur noch ein guter Bolzenschneider oder ein Winkelschleifer, um den Träger zu befreien. Ich sehe die Jungs von der Feuerwehr schon mit Tränen in den Augen vom 'Notfalleinsatz' zurück kommen.
Zudem war die API des IoT-Geräts so gestrickt, dass der Standort des Geräts, das Passwort im Klartext und weitere persönliche Daten von Dritten abgegriffen werden konnten, ohne dass eine Authentifizierung erforderlich war. Folgende Karte zeigt Standortdaten der Geräte im Einsatz – ich formuliere es mal so: Aus Marketing-Gesichtspunkten gesehen gibt es noch viele weiße Flecken zu besetzen, aber Europa ist von Frankreich bis hoch in den Norden (bis auf Teile Skandinaviens, Polens und im Süden Spaniens/Portugals/Italiens und Griechenland) gesättigt.
(Gerätestandorte)
Also quasi das volle Programm in Sachen Sicherheitsmängel. Die Sicherheitsforscher wollten das dem Hersteller melden, aber es gelang nicht wirklich. Während einige Mängel wohl beseitigt wurden, blieben ältere Geräte angreifbar. Da der Hersteller an einem weiteren Gerät entwickelt, was nach Angaben der Sicherheitsforscher noch größere potentielle körperliche Schäden verursacht (ein "internes" Keuschheitsgerät), sahen sie sich gezwungen, die Ergebnisse des Sicherheitstests zu veröffentlichen. Details lassen sich dem Blog-Beitrag der Sicherheitsforscher entnehmen. Wer es lieber in Deutsch hat, findet bei den Kollegen von heise noch einige Zeilen. Man lernt eben nie aus.
Anzeige
"Man lernt eben nie (aus)." – trifft es auf den Punkt.
Man MUSS eben alles – und zwar wirklich alles – ins Netz bringen. "Scheiss" auf Sicherheit – wen interessiert das schon…
Was die Sache mit der Feuerwehr angeht … ich bin Feuerwehrmann. "Erotische" Einsätze gibt es bereits!
Zum letzten Satz: Ist mir klar – bin zwar nur zahlendes Mitglied, da zu alt. Aber ja, man hörte davon … ;-)
Zum 2. Satz: Las bei der Moderation erst 'Mann MUSS eben alles selbst ausprobieren' – da schoss mir dann, angesichts der latenten Unterstellungen, ich würde Windows 10 nur in der Theorie kennen, so ganz spontan 'Leutz, bei aller Liebe, diesen Test mit dem obigen Ding, ob das wirklich nicht mehr auf geht, wenn es gehackt wurde, den mache ich nur wirklich nicht …' durch den Kopf.
Dann habe ich nochmals gelesen und festgestellt, dass Du was ganz anderes geschrieben hast … Ups. Siggi Freud prägt halt eben …
grins … dachte ich eben…
:-)
"als ich vor einen Stunden" einigen?
"und den Träger des Keuschheitsschlosses dauerhaft Gerät einsperren kann." häh?
—
aua.
ansonsten: Schwachsinn VON Schwachsinnnigen FÜR Schwachsinnige.
Kein Mitleid!
Sry, um 1:30 Uhr, als der Beitrag entstand, hatte ich kein Taschentuch, um die Tränen aus den Augen zu wischen. Da sind mir einige Buchstaben unter den Schreibtisch gepurzelt und ich habe es nicht bemerkt. Danke für den Hinweis, hab sie eben gefunden und wieder angeklebt.
Zum zweiten Teil deiner Replik: Echt krass – kein Mitleid, wenn demnächst halb Europa – zumindest der männliche Teil von Frankreich bis in den Norden – erneut im 'Lock-Down' verharrt? Und zum Lachen in den Keller gehen? …. ischa nicht so ernst gemeint.
Da bekommt der Begriff "Pen Test" doch direkt eine neue Bedeutung… ;-)
Günter, you made my day! :-)
Ich hab meinen Kaffee soeben 1A über meine Tastatur geprustet!
Wie David schon sagte .. man muss nicht Alles ins Internet bringen, d'accord.
Damit dürfte endgültig belegt sein:
IOT hat die Jungfräulichkeit verloren.
Trägt ziemlich auf, so ein Teil in der Hose. ;-)
Da biste mal von angetörnt (von sowas?) und da macht das Ding erstmal nen Update…
Das "S" in IoT steht für Sicherheit.
Das bewahrheitet sich wieder einmal. :-)
Vielleicht hilft es ja jemandem:-)
Man muss keinen Bolzenschneider dabeihaben. Zwei AA-Batterien reichen.
Siehe: https://www.pentestpartners.com/security-blog/smart-male-chastity-lock-cock-up/ ….. Locked in? Here's a workaround
Oh, und das im „Locktober"… Da gibt es am 1. November bestimmt einige enttäuschte Gesichter…