Smarte Dildos: Freust du dich, mich zu sehen, oder wurdest du gehackt?
Schwere Lücken bei Smart-Sexspielzeughersteller Lovense ermöglichen es Angreifern, E-Mail-Adressen über Benutzernamen zu ermitteln und Konten ohne Passwort zu übernehmen. Das Unternehmen benötigt angeblich 14 Monate für eine vollständige Lösung.
Lovense gehört zu den größten Herstellern internetverbundener Sexspielzeuge und hat sich in den vergangenen Jahren als Marktführer in diesem sensiblen und intimen Bereich etabliert. Das Unternehmen wurde 2009 gegründet und hat seinen Hauptsitz in Hongkong. Die Produkte des Unternehmens sind besonders bei Cam-Models und Content-Creators beliebt, da sie interaktive Funktionen für Livestreams bieten.
Die Entdeckung der Schwachstellen erfolgte durch den Sicherheitsforscher BobDaHacker, der in seinem Blog detailliert über die Problematik berichtet (via Bleeping Computer). Gemeinsam mit den Forschern Eva und Rebane analysierte er die Lovense-App und automatisierte den Angriff. Die Forscher meldeten ihre Erkenntnisse bereits im März 2025 an Lovense und erhielten insgesamt 3000 Dollar für die Offenlegung der Schwachstellen.
Die Entdeckung der kritischen Sicherheitslücke war eher zufällig. "Es begann alles, als ich die Lovense-App benutzte und jemanden stummschaltete. Das war's. Ich schaltete sie einfach stumm", erklärt BobDaHacker in seinem Bericht. Nach einer tiefergehenden Analyse fand er heraus, wie sich jeder Benutzername in die dazugehörige E-Mail-Adresse umwandeln lässt.
Die Schwachstelle stammt aus der Interaktion zwischen Lovenses XMPP-Chat-System, das für die Kommunikation zwischen Benutzern verwendet wird, und dem Backend der Plattform. XMPP (Extensible Messaging and Presence Protocol) ist ein offener Standard für Instant Messaging, der ursprünglich als Jabber bekannt war. Durch die Automatisierung des Prozesses mit einem Computerskript konnte der Forscher eine E-Mail-Adresse eines Nutzers in weniger als einer Sekunde ermitteln.
Besonders problematisch ist die Situation für Cam-Models und Content-Creator. "Das war besonders schlimm für Cam-Models, die ihre Benutzernamen öffentlich teilen, aber offensichtlich nicht wollen, dass ihre persönlichen E-Mails preisgegeben werden", schrieb BobDaHacker in seinem Blog-Post. Lovense-Benutzernamen werden oft in Foren und sozialen Medien öffentlich geteilt, was sie zu leichten Zielen für Angreifer macht.
Der Forscher behauptet auch, dass die von Lovense erstellte FanBerry-Erweiterung zur Sammlung von Benutzernamen verwendet werden kann, da viele der Cam-Models denselben Benutzernamen verwenden. Dies ermöglicht eine umfangreiche E-Mail-Sammlung und potenzielle Doxxing-Angriffe.
Als Begründung führte das Unternehmen an, dass eine schnelle Lösung die Kompatibilität mit älteren Versionen ihrer App beeinträchtigen würde. "Wir haben einen langfristigen Sanierungsplan gestartet, der etwa zehn Monate dauern wird, wobei mindestens vier weitere Monate erforderlich sind, um eine vollständige Lösung zu implementieren", teilte Lovense dem Security-Forscher mit.
Besonders problematisch erscheint dabei, dass ähnliche Schwachstellen bereits 2023 gemeldet wurden, aber nie vollständig behoben wurden. Nach mehreren Wochen des Hin und Her über die Frage, ob die Bugs tatsächlich behoben waren, ging der Forscher diese Woche an die Öffentlichkeit.
Angesichts der anhaltenden Sicherheitsprobleme empfehlen Forscher Nutzern von Lovense-Spielzeugen, eine "Wegwerf-E-Mail" zu verwenden, die nicht direkt mit ihnen in Verbindung steht. Dies kann zumindest das Risiko einer Verknüpfung mit der realen Identität reduzieren.
Was haltet ihr von Lovenses Umgang mit den Sicherheitslücken? Sollten Unternehmen bei sensiblen Daten schneller reagieren? Teilt eure Meinung in den Kommentaren!
Siehe auch:
Kritische Zero-Day-Lücke
Der Sexspielzeug-Hersteller Lovense ist von schwerwiegenden Sicherheitslücken betroffen, die es Angreifern ermöglichen, über Benutzernamen an E-Mail-Adressen von Nutzern zu gelangen und sogar komplette Konten zu übernehmen. Die Schwachstellen bedrohen die Privatsphäre von immerhin mehr als 20 Millionen Nutzern weltweit.Lovense gehört zu den größten Herstellern internetverbundener Sexspielzeuge und hat sich in den vergangenen Jahren als Marktführer in diesem sensiblen und intimen Bereich etabliert. Das Unternehmen wurde 2009 gegründet und hat seinen Hauptsitz in Hongkong. Die Produkte des Unternehmens sind besonders bei Cam-Models und Content-Creators beliebt, da sie interaktive Funktionen für Livestreams bieten.
Die Entdeckung der Schwachstellen erfolgte durch den Sicherheitsforscher BobDaHacker, der in seinem Blog detailliert über die Problematik berichtet (via Bleeping Computer). Gemeinsam mit den Forschern Eva und Rebane analysierte er die Lovense-App und automatisierte den Angriff. Die Forscher meldeten ihre Erkenntnisse bereits im März 2025 an Lovense und erhielten insgesamt 3000 Dollar für die Offenlegung der Schwachstellen.
Die Entdeckung der kritischen Sicherheitslücke war eher zufällig. "Es begann alles, als ich die Lovense-App benutzte und jemanden stummschaltete. Das war's. Ich schaltete sie einfach stumm", erklärt BobDaHacker in seinem Bericht. Nach einer tiefergehenden Analyse fand er heraus, wie sich jeder Benutzername in die dazugehörige E-Mail-Adresse umwandeln lässt.
Die Schwachstelle stammt aus der Interaktion zwischen Lovenses XMPP-Chat-System, das für die Kommunikation zwischen Benutzern verwendet wird, und dem Backend der Plattform. XMPP (Extensible Messaging and Presence Protocol) ist ein offener Standard für Instant Messaging, der ursprünglich als Jabber bekannt war. Durch die Automatisierung des Prozesses mit einem Computerskript konnte der Forscher eine E-Mail-Adresse eines Nutzers in weniger als einer Sekunde ermitteln.
Zweite Lücke ermöglicht Kontoübernahme
Neben der E-Mail-Schwachstelle entdeckten die Forscher eine zweite, noch schwerwiegendere Sicherheitslücke: Mit nur einer E-Mail-Adresse konnten Angreifer Authentifizierungstoken ohne Passwort generieren und damit Accounts vollständig übernehmen. Diese Token funktionierten Berichten zufolge auch bei Administrator-Konten, was die Tragweite der Schwachstelle verdeutlicht.Besonders problematisch ist die Situation für Cam-Models und Content-Creator. "Das war besonders schlimm für Cam-Models, die ihre Benutzernamen öffentlich teilen, aber offensichtlich nicht wollen, dass ihre persönlichen E-Mails preisgegeben werden", schrieb BobDaHacker in seinem Blog-Post. Lovense-Benutzernamen werden oft in Foren und sozialen Medien öffentlich geteilt, was sie zu leichten Zielen für Angreifer macht.
Der Forscher behauptet auch, dass die von Lovense erstellte FanBerry-Erweiterung zur Sammlung von Benutzernamen verwendet werden kann, da viele der Cam-Models denselben Benutzernamen verwenden. Dies ermöglicht eine umfangreiche E-Mail-Sammlung und potenzielle Doxxing-Angriffe.
Unternehmen reagiert zögerlich auf Bedrohung
Lovenses Reaktion auf die gemeldeten Sicherheitslücken war alles andere als vorbildlich. Am 4. Juni behauptete das Unternehmen, die Schwachstellen seien behoben, aber die Forscher bestätigten, dass dies nicht der Fall war. Lovense behob schließlich die Kontoübernahme-Schwachstelle im Juli, gab aber an, dass es etwa 14 Monate dauern würde, die E-Mail-Schwachstelle zu beheben.Als Begründung führte das Unternehmen an, dass eine schnelle Lösung die Kompatibilität mit älteren Versionen ihrer App beeinträchtigen würde. "Wir haben einen langfristigen Sanierungsplan gestartet, der etwa zehn Monate dauern wird, wobei mindestens vier weitere Monate erforderlich sind, um eine vollständige Lösung zu implementieren", teilte Lovense dem Security-Forscher mit.
Besonders problematisch erscheint dabei, dass ähnliche Schwachstellen bereits 2023 gemeldet wurden, aber nie vollständig behoben wurden. Nach mehreren Wochen des Hin und Her über die Frage, ob die Bugs tatsächlich behoben waren, ging der Forscher diese Woche an die Öffentlichkeit.
Angesichts der anhaltenden Sicherheitsprobleme empfehlen Forscher Nutzern von Lovense-Spielzeugen, eine "Wegwerf-E-Mail" zu verwenden, die nicht direkt mit ihnen in Verbindung steht. Dies kann zumindest das Risiko einer Verknüpfung mit der realen Identität reduzieren.
Was haltet ihr von Lovenses Umgang mit den Sicherheitslücken? Sollten Unternehmen bei sensiblen Daten schneller reagieren? Teilt eure Meinung in den Kommentaren!
Zusammenfassung
- Lovense-Sicherheitslücken ermöglichen Zugriff auf E-Mails und Konten
- Über Benutzernamen können Angreifer E-Mails von 20 Millionen Nutzern auslesen
- Sicherheitsforscher entdeckten zufällig Schwachstellen im XMPP-Chat-System
- Besonders für Cam-Models mit öffentlichen Benutzernamen ein hohes Risiko
- Kontoübernahme-Schwachstelle wurde behoben, E-Mail-Problem bleibt bestehen
- Das Unternehmen benötigt 14 Monate für vollständige Behebung aller Lücken
- Nutzern wird die Verwendung von separaten E-Mail-Adressen empfohlen
Siehe auch:
- Grok-Sex-Chatbots: Nach weiblicher kommt nun eine männliche Version
- Steam entfernt kontroverse Sex-Spiele auf Druck von Bankdienstleistern
- Nach großer Empörung: Verstörendes "Sex"-Spiel verschwindet von Steam
- Nothing Phone 3a (Pro) vorgestellt: sexy Mittelklasse schon ab 330 Euro
- Steam: Japanische Banken verweigern Sex-Game-Entwicklern ihr Geld
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Backup & Datenrettung:
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen