Twee ethische hackers hebben succesvol seksspeeltjes weten te kraken en op afstand te bedienen door de communicatie tussen de speeltjes en een smartphone te manipuleren. Ze kunnen de vibrators aan- en uitzetten zonder toestemming van de gebruiker. In een interview met de techredactie van hln.be legden Matteo Mandolini en Luca Bongiorni uit hoe ze te werk zijn gegaan.
Het betreft speeltjes die verbonden zijn met de app 'Love Spouse', die al een half miljoen keer is gedownload via de Google Play Store. De twee hackers onderschepten de verbinding tussen de app en verschillende seksspeeltjes, waarbij ze de commando's voor het starten en stoppen van de apparaten identificeerden.
Inspiratie van Defcon
Luca Bongiorni deelt dat hun inspiratie afkomstig is van een gebeurtenis op de Defcon-beurs voor hackers eerder dit jaar. Op die bijeenkomst kregen aanwezigen herhaaldelijk meldingen op hun iOS-apparaten die probeerden verbinding te maken met een AppleTV en andere accessoires. Deze 'hack' werd later meerdere malen herhaald, wat leidde tot een update van Apple om dit te voorkomen. De hackers besloten een vergelijkbare benadering toe te passen, maar dan gericht op seksspeeltjes, om te laten zien hoe kwetsbaar dit soort apparaten is.
(lees verder onder de video)
"Je hoeft geen superhacker te zijn"
Bongiorni benadrukt dat de koppelingsmethode die Apple gebruikt voor accessoires complexer is dan die van veel andere apparaten, waaronder seksspeeltjes. Samen met zijn collega Matteo Mandolini begon hij aan het project en ontdekte dat veel speeltjes kwetsbaar zijn voor hun aanval. Ze benadrukken dat je geen superhacker hoeft te zijn om dit te doen; elke IT'er kan dit uitvoeren. De essentie van de aanval is dat het speeltje constant 'luistert' naar commando's om aan of uit te gaan, en de smartphone stuurt een pakket naar de vibrator om deze te activeren.
Er is geen directe verbinding tussen de smartphone en de vibrator; de communicatie verloopt via Bluetooth Low Energy Broadcasting, een methode die geen encryptie gebruikt om de pakketten te beveiligen. Hoewel er methoden zijn om de communicatie op meer beveiligde wijze te laten verlopen, heeft de fabrikant dit hier nagelaten.
Flipper Zero
De hackers ontwikkelden vervolgens een toepassing voor de Flipper Zero, een populair apparaat onder hackers, om de commando's na te bootsen. Ze noemen hun aanval zelf een 'Denial of Pleasure', een knipoog naar Denial of Service of DDoS, het type aanval dat recentelijk nog de website van de Belgische Senaat platlegde. Met deze hack kunnen de twee Italianen in theorie seksspeeltjes activeren, zelfs in de Senaat. Zouden er daar zijn…?
(Bron: hln.be)
Plaats reactie
0 reacties
Je bekijkt nu de reacties waarvoor je een notificatie hebt ontvangen, wil je alle reacties bij dit artikel zien, klik dan op onderstaande knop.
Bekijk alle reacties