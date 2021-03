Beveiligingsonderzoekers hebben serieuze problemen ontdekt in de twee bekendste seksspeeltjes die via internet op afstand kunnen worden bestuurd.

Van alle apparaten die een connectie hebben met internet, zijn seksspeeltjes misschien wel de laatste waarvan je wilt dat kwaadwillenden de besturing op afstand kunnen overnemen. Deze productcategorie geldt daarom al jaren als aansprekend voorbeeld op congressen waar de beveiliging van IoT (Internet of Things, oftewel: alle mogelijke apparaten die op internet worden aangesloten) centraal staat.

Toch is het weer raak. Beveiligingsonderzoekers van ESET hebben serieuze problemen gevonden bij twee van de meestverkochte seksspeeltjes: de WeVibe Jive en de Lovense Max. Het eerste is een ‘vibrerend eitje’ voor de vrouw, terwijl de Max voor de penis van de man is bedoeld. Beide apparaten kunnen desgewenst ook – via internet – worden bediend door iemand anders. Die sekspartner kan zo van grote afstand het speeltje aan- of uitzetten of het ritme veranderen. Hiervoor moet de eigenaar wel toestemming verlenen.

Kwetsbaarheden in officiële apps

Maar precies hier kan het misgaan, ontdekte ESET. De onderzoekers vonden kwetsbaarheden in de officiële Android-apps (WeConnect en Lovense Remote) die de onderzochte seksspeeltjes aansturen. Zij waren in staat om malware te installeren op de aangesloten telefoon, de controle over te nemen en zelfs het gedrag van een apparaat aan te passen.

Volledig scherm Elk willekeurig apparaat kon verbinding maken met de Jive zonder verificatie of authenticatie uit te voeren.

Uit het onderzoek blijkt dat een WeVibe Jive voortdurend voor anderen zichtbaar was en zijn aanwezigheid kenbaar maakte om een verbinding mogelijk te maken. Dit betekende in de praktijk dat iedereen met een Bluetoothscanner het speeltje in de buurt (op maximaal 8 meter) kon vinden. Vervolgens kon een kwaadwillende het apparaat overnemen en besturen.

Er waren volgens de onderzoekers ook serieuze problemen met de koppelmethode, waardoor elk willekeurig apparaat verbinding zou kunnen maken met de Jive zonder verificatie of authenticatie uit te voeren. Ook de Lovense Max was kwetsbaar voor zogenaamde man-in-the-middle-aanvallen, waarmee mensen met slechte bedoelingen op afstand het apparaat kunnen overnemen en besturen.

Foto’s en video’s

Op het vlak van privacy ging ook al veel mis. Zo was het bij de Lovense mogelijk om afbeeldingen (die binnen de app kunnen worden gedeeld tussen twee partners) door te sturen naar andere personen zonder medeweten van de eigenaar. Ook bleven geblokkeerde gebruikers gewoon toegang houden tot de chatgeschiedenis, inclusief eerder gedeelde video’s of afbeeldingen.

Hackersconferentie

Dat hightech-seksspeeltjes zich niet onttrekken aan de wetmatigheid dat alles wat op internet zit, in de basis onveilig is, werd al in 2016 aangetoond op hackersconferentie DefCon in Las Vegas. Experts lieten destijds zien dat de WeVibe 4 Plus-vibrator van afstand door hackers kon worden overgenomen. “Toch hoop je dat die fabrikanten hun zaakjes op orde hebben”, zegt Dave Maasland van ESET. Inmiddels heeft zowel Lovense als WeVibe de gevonden kwetsbaarheden gedicht.

Dat was hard nodig, stelt Maasland, want uit verkoopcijfers van erotiekshop EasyToys blijkt dat er vorig jaar al veel meer slimme seksspeeltjes werden verkocht dan in 2019, terwijl in de eerste twee maanden van dit jaar al de helft is omgezet van geheel 2020.