Title (eng): IoD - Internet of Dongs

Author: Schober, W. (Werner)

Description (deu): Masterarbeit, Fachhochschule St. Pölten, Masterstudiengang Information Security, 2018

Description (deu): In den letzten Jahren und Jahrzehnten hat sich das Internet der Dinge langsam aber stetig in unserem täglichen Leben eingeschlichen. Das Internet der Dinge ist zu einer essentiellen Untermenge des gesamten Internet gewachsen und eine Welt ohne dem Internet der Dinge wäre heutzutage unvorstellbar. Für den Großteil der Menschheit ist dieses Faktum nicht sofort sichtbar bzw. offensichtlich. Hauptverantwortlich dafür ist, dass das Internet der Dinge ein Nebenprodukt der seit Jahrzehnten andauernden Digitalisierung unseres täglichen Lebens ist. Aufgrund der relativ langsamen Einführung von immer mehr automatisierten Prozessen und der digitalen Verflechtung von nahezu allen nur vorstellbaren Geräten mit dem globalen Internet war eben dieser Digitalisierungsprozess für die Menschheit nicht wirklich transparent bzw. nicht sofort sichtbar. Die allgemeine Öffentlichkeit weiß in geringem Ausmaß über diesen Prozess Bescheid. Potentiell weiß man, dass der lokale Stromnetzbetreiber ein Smart Grid implementiert, weil man ein Smart Meter installiert bekommen hat. Manche mögen sogar ein Smartes Zuhause besitzen, aber spätestens an diesem Punkt ist der Zenith der Allgemeinheit im Normalfall erreicht. Die harte Wahrheit ist jedoch, dass das Internet der Dinge bereits Maße von unvorstellbarem Ausmaß angenommen hat. Das Internet der Dinge, wie es heute bereits existiert, verbindet nahezu alles mit jedem. Wir verbinden Objekte wie Autos, Gebäude, Gehsteige, Uhren, Spiegel und noch viel exotischere Dinge wie Babyphones und Sexspielzeug miteinander. Auf den ersten Blick hören sich diese Szenarien sehr futuristisch an, aber im 21. Jahrhundert, in unserer heutigen Realität, hat uns die Zukunft bereits eingeholt. Eine dieser exotischen Unterkategorien des Internet der Dinge, Smarte Sexspielzeuge, werden den Grundstein für diese Arbeit bilden. Aufgrund des regen Treibens in der Forschung in diesem Bereich wurde ein eigener Forschungsbereich mit dem Namen Teledildonics gebildet1. Im Zuge dieser Arbeit wurden mehrere Smarte Sexspielzeuge einer Schwachstellenanalyse unterzogen. Dabei geht es einerseits um technische Schwachstellen, aber auch um die Datenschutzrechtlichen Auswirkungen auf die Anwender. Zu guter letzt wird der rechtliche Aspekt mehrerer Schwachstellenklassen untersucht, die es potentiell erlauben sexuelle Handlungen ohne Zustimmung der Nutzer durchzuführen.

Ergebnis: Im Zuge der Schwachstellenanalyse wurden hoch kritische Schwachstellen in den smarten Sex Toys identifiziert. Die Schwachstellen erlauben es einerseits vollständigen Zugriff auf eine Vielzahl an Kundendaten zu erlangen und somit pikante details über die Nutzer der smarten Sex Toys zu sammeln. Andererseits wurden Schwachstellen identifiziert, welche es einem Angreifer ermöglichen, vollständige Kontrolle über die Geräte zu erhalten. Dabei ist sowohl die unerlaubte Bedienung der Geräte möglich, als auch das auslesen diverser Parameter. Dieser Angriffstyp lässt sich sowohl über das Internet, als auch über einen lokalen Link in der nähe des Opfers ausführen.

Description (eng): In the last few years the internet of things has creeped into our daily life, if you want it or not. The internet of things has grown up to an essential sub-set of the internet and it is nearly impossible to imagine a world without it. For most of the people on this planet this is a fact, which is not immediately obvious. A major reason for that is that the internet of things is a byproduct of the digitalisation of our daily lives, which is going on since decades. Due to the slow implementation of more and more automated processes and the interconnection of nearly every single device with each other and the global internet, this ongoing digitalisation process wasn’t transparent and therefore not visible for everyone immediately. The general public is maybe aware of the fact that there is a smart grid implemented by their local energy supply companies, or some may even own a smart home, but this is as far as it gets when it comes to IoT in the general public. The reality is that the internet of things is much bigger than it might look at the first glimpse. The internet of things is interconnecting nearly everything with everything. We are connecting things like cars, homes, walkways, clocks, mirrors, fridges or more exotic things like baby monitors or even sex toys with each other. This might sound quite futuristic, but this is our todays reality - the future has caught up with us. One of those exotic sub-categories, smart sex toys, is going to be the foundation of this master thesis. Due to the massive amount of research, which is currently evolving in this sector a unique research-area got created called teledildonics2. This master thesis will focus on the identification and remediation of vulnerabilities in the internet of dongs. A major aspect is going to be the identification of technical vulnerabilities as well as potential privacy impacts on the users. Last but not least the legal aspect will be discussed. This is especially important, when remote pleasure without consent is possible due to mature implementation flaws in certain smart sex toys.

Result: During the vulnerability analysis phase, a number of highly critical vulnerabilities got identified. The identified vulnerabilities allow an attacker to get full and unfiltered access to the customer databases of the tested sex toys. It is therefore possible to enumerate and extract sensitive and explicit user data. Furthermore, it was possible to identify serious flaws in the remote control functionality of the sex toys. It is possible to control the sex toys without prior authentication. This is possible over the internet as well as over a local link, if the attacker is nearby.

Object languages: English

Date: 2018

Rights: © All rights reserved

Classification: Internet der Dinge ; Intelligentes Stromnetz ; Sexuelles Hilfsmittel ; Schwachstellenanalyse

Permanent Identifier