Du bist nicht mit dem Internet verbunden.
Produktwissen

Svakom Siime Eye – Wir haben den Vibrator aus Sicherheitsgründen aus dem Sortiment genommen

Heute habe ich ein Security Advisory gelesen, das in mir die Reaktion «Warum macht man sowas?» provoziert hat. Wenige Minuten später haben wir ein Sexspielzeug aus dem Sortiment genommen. Der Grund: massive Sicherheitslücken.

Der Vibrator Svakom Siime Eye – ausgesprochen «See me» also «Sehe mich» – ist per sofort nicht mehr bei uns erhältlich. Es ist gut möglich, dass ein Nachfolger in unser Sortiment aufgenommen wird, aber erst nachdem wir uns von der Sicherheit des Geräts überzeugt haben. Denn diese ist beim Siime Eye nicht vorhanden. Daher können wir nicht mehr guten Gewissens sagen, dass wir hinter dem Gerät stehen. Und das wollen wir nicht.

Denn wie es heute aussieht, ist der Svakom Siime Eye ein gescheitertes Produkt.

Siime Eye
SVAKOM Siime Eye
Vibrator mit eingebauter HD-Kamera und WLAN-Technologie!

Verfügbarkeit

Postversand

  • Aktuell nicht lieferbar und kein Liefertermin vorhanden.

Abholen

  • Basel: Aktuell nicht lieferbar und kein Liefertermin vorhanden.
  • Bern: Aktuell nicht lieferbar und kein Liefertermin vorhanden.
  • Dietikon: Aktuell nicht lieferbar und kein Liefertermin vorhanden.
  • Genf: Unbekannt
  • Kriens: Aktuell nicht lieferbar und kein Liefertermin vorhanden.
  • Lausanne: Aktuell nicht lieferbar und kein Liefertermin vorhanden.
  • St. Gallen: Aktuell nicht lieferbar und kein Liefertermin vorhanden.
  • Winterthur: Aktuell nicht lieferbar und kein Liefertermin vorhanden.
  • Wohlen: Unbekannt
  • Zürich: Aktuell nicht lieferbar und kein Liefertermin vorhanden.

Alle Angaben ohne Gewähr.

Details anzeigen

Sehen wir uns das Debakel im Detail an.

Was ist der Svakom Siime Eye?

Svakom ist ein Unternehmen, das Sexspielzeug für die Frau herstellt. Das US-amerkanische Unternehmen hat sich in der Szene einen Namen gemacht, indem es Produkte hergestellt hat, die nicht nur im Bett Freude machen, sondern auch noch einigermassen ästhetisch aussehen. Der Hersteller wirbt mit kurzen Ladezeiten und starken Motoren.

Das Modell Siime Eye ist ein Ding im Internet of Things. Das Internet of Things ist der Sammelbegriff für alles, was irgendwie smart ist. Geräte, die mit anderen Geräten kommunizieren, werden immer weiter verbreitet und weil die Sexspielzeugindustrie in der Regel technologisch recht fortschrittlich ist, hat sich das Feld der Teledildonics etabliert. Der Begriff beschreibt «sexuelle Aktivitäten ohne physische Präsenz». Sowas wie Sandra Bullock und Sylvester Stallone in «Demolition Man».

Der Siime Eye kann sich dahingehend sehen lassen, dass das Gerät nicht nur über eine Internetanbindung zum Zwecke der Teledildonics und einen starken Motor, sondern auch, dass es über eine Kamera verfügt. Offensichtlich ist das ein Fetisch, den Menschen haben und dem soll auch Rechnung getragen werden. Wir haben alle Fetische, klein oder gross, harmlos oder etwas ausgefallener. Eine kurze Recherche auf einschlägigen Videoportalen zeigt, dass die Nachfrage nach Videos mit Aufnahmen aus dem Innern von menschlichen Körpern durchaus da ist.

Eine Kamera.

Wir haben also eine Webcam in einem Gerät, das in der Regel in der generellen und bei Benutzung entblössten Beckengegend seiner User verwendet wird. Wäre ja eine Schande, wenn die Bilder irgendwie öffentlich würden.

Du siehst schon, wo das hinführt.

Der ernüchternde Penetration Test

Damit der Svakom Siime Eye die Bilder vom Dildo zum Computer bringt, benutzt er den WiFi-Standard. Das heisst, dass das Gerät zum WLAN Access Point wird. Es ergibt laut den Penetration Testern von PenTestPartners zwar Sinn, dass das Gerät den WiFi-Standard verwendet, denn alle anderen Standards wie Bluetooth schaffen es nicht, den Datenthroughput einer Videokamera ohne Verzögerung hinzukriegen. Das ist dahingehend nicht optimal, weil die Liebesgefühle in Echtzeit am besten funktionieren.

Die Source-Code-Analyse zeigt, dass einige Daten des Geräts hart hinterlegt werden. Dieses Hard Coding wird von Sicherheitsforschern kritisch beäugt und jeder, der etwas von seinem Fach versteht, wird in den allermeisten Fällen von Hardcoding abraten.

Diese Daten sind kritisch:

IP: 192.168.1.1

Port: 80

SSID: Siime Eye

Username: admin

Password: [blank] (also leer)

Wenn du jetzt im gleichen Heimnetzwerk bist, wie der Siime Eye, dann kannst du im Browser deiner Wahl 192.168.1.1:80 eintippen, dann «admin» als Usernamen angeben und das Passwortfeld leer lassen. Beim Setup gibt der Hersteller zwar an, dass du das Passwort ändern sollst und dass es sonst unsicher sei, aber das ist auch komplett für den Arsch wenn im Quellcode ein Username und Passwort fest hinterlegt sind. Denn keiner kann das ändern oder beeinflussen.

Jaja, Sicherheitshinweis. Ist klar...

Was passiert?

Der Browser zeigt die Videofootage des Siime Eye an. Die Web App, die dem Svakom Siime Eye hinterlegt ist, gleicht der einer standardmässigen Kamera-Applikation, wie du sie von Webportalen mit Webcam-Fernsteuerung kennst. Dazu kommen noch erweiterte Funktionen wie «Nimm Video auf, wenn du Bewegung feststellst». Zudem sind Parameter wie «skype_pw» hinterlegt, die eine Anbindung an den Internettelefoniedienst Skype ermöglichen. Das ist keine Sicherheitslücke, das ist ein Sicherheitsloch.

Die erweiterte Code-Analyse hat gezeigt, dass der vom Siime Eye verwendete Code wohl für Drohnen geschrieben worden ist. Die benutzten Namen im Code weisen auf eine Drohne namens Skyviper hin. PenTestPartners hat beim Unternehmen nachgefragt und das weiss nichts davon, dass sein Code für Sexspielzeug verwendet wird.

Die App, die auch nicht sicher ist

Der Siime Eye wird in der Regel über eine App für Google Android oder Apple iOS gesteuert. Auch da sind die Zugangsdaten offensichtlich.

SSID: Siime Eye

Passwort: 88888888

Diese Daten müssen bei der ersten Verbindung mit dem Access Point des Siime Eye eingegeben werden. Ansonsten kann die App nicht mit dem Dildo kommunizieren. Die App selbst hat nur limitierte Funktionalität. Sie kann Fotos schiessen und Video aufzeichnen. Die Aufnahmen können abgespeichert werden.

Die Siime App

Die Kurzfassung dieser beiden Schwachstellen: Jeder, der im gleichen Netz hängt, wie der Siime Eye oder in Reichweite des Wireless Access Points des Spielzeugs kann auf die Videofootage zugreifen.

… super.

Mit etwas weiterem Geschick ist es den Researchern bei PenTestPartner gelungen, die vollständige Kontrolle, also Root-Access, über das Gerät dauerhaft zu erreichen. In die Geschichte der Informationssicherheitsszene wird der Siime Eye als das Gerät eingehen, das den Satz «Root auf Dildo» zur Wahrheit hat werden lassen..

Daher der Rat: Kübelt euren Siime Eye. Wir empfehlen euch anderes.

Mona 2 Cerise
CHF 150.–
LELO Mona 2 Cerise
G-Punkt-Vibrator der Luxusklasse MONA 2 mit den Kurven an den richtigen Stellen
1

Verfügbarkeit

Postversand

  • ca. 4-6 Tage
    1 Stück versandbereit ab externem Lager

Abholen

  • Eine Abholung dieses Produktes ist leider nicht möglich.

Bei sofortiger Bestellung.
Alle Angaben ohne Gewähr.

Details anzeigen

Soraya Black
CHF 228.–
LELO Soraya Black
Schöner und eindrucksvoller Hochleistungsvibrator SORAYA mit doppelter Funktion für die exklusiven Momente
1

Verfügbarkeit

Postversand

  • nur noch 4 Stück
    in unserem Lager

PickMup

Abholen

  • Basel: ca. 21.08.2017
  • Bern: Morgen um 12:45
  • Dietikon: ca. 21.08.2017
  • Genf: ca. 21.08.2017
  • Kriens: ca. 21.08.2017
  • Lausanne: ca. 21.08.2017
  • St. Gallen: ca. 21.08.2017
  • Winterthur: Morgen um 12:45
  • Wohlen: Morgen um 11:00
  • Zürich: Morgen um 12:30

Bei sofortiger Bestellung.
Alle Angaben ohne Gewähr.

Details anzeigen

by OhMiBod Cuddle G-Spot Vibe
CHF 79.90
Lovelife by OhMiBod Cuddle G-Spot Vibe

Verfügbarkeit

  • ca. 10-12 Tage
    Aktuell beim Lieferanten an Lager

Bei sofortiger Bestellung.
Alle Angaben ohne Gewähr.

Details anzeigen

Für den Fall, dass ihr doch noch eine Kamera zum Zwecke der Teledildonics haben wollt, haben wir euch folgendes Bundle zusammengestellt.

Soraya + GoPro
LELO Soraya + GoPro
Jetzt unbedingt vom Angebot profitieren!

Verfügbarkeit

  • Aktuell nicht lieferbar und kein Liefertermin vorhanden.

Alle Angaben ohne Gewähr.

Details anzeigen

User

Dominik Bärlocher

Journalist. Autor. Hacker. Meine Themen haben meist mit Android oder Apples iOS zu tun. Auch die IT-Security liegt mir am Herzen, denn in unserer Zeit ist der Datenschutz keine Nebensache mehr, sondern eine Überlebensstrategie.

5 Kommentare

User Anonymous

Man kann auch zu pingelig sein. Ich finde es jedenfalls toll dass Galaxus hier informiert und noch eine witzige Story dazu schreibt.

11.04.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Starcross89

Habe den Bericht vom Hack gestern gelesen und dachte mir nur... wie kommt man auf die Idee einen Vibrator mit Kamera auf den Markt bringen... klar, irgendwie schon interessant, wie es in unserem Innern aussieht, aber mit dem heutigen Sicherheitsleck sollte man etwas vorsichtiger sein, nicht?...

12.04.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Anonymous

Dieser Mix zwischen Englisch und Deutsch ist nicht wirklich toll zu lesen. Entweder man verwendet die deutschen Versionen von den Wörtern oder lässt es gleich bleiben. Bsp. "Datenthroughput", "hart hinterlegt" nachher aber wieder "Hard Coding" im gleichen Satz dann "Hardcoding"...

10.04.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.


Bitte melde dich an.

Du musst angemeldet sein, um einen neuen Kommentar zu erfassen.

Corporate logo