Die Plattform des Intimgeräteherstellers Lovense steht vor gravierenden Cybersecurity-Herausforderungen, die persönliche Daten von über 20 Millionen Nutzern weltweit gefährden. Unabhängige Sicherheitsforscher haben kritische Schwachstellen identifiziert, die es Angreifern ermöglichen, E-Mail-Adressen zu extrahieren und vollständige Kontrolle über Benutzerkonten zu erlangen.
Entdeckung zweier kritischer Sicherheitslücken
Das Forscherteam bestehend aus BobDaHacker, Eva und Rebane führte im März 2024 eine umfassende Sicherheitsanalyse der Lovense-Anwendung durch. Dabei wurden zwei schwerwiegende Vulnerabilitäten aufgedeckt: Eine ermöglicht die komplette Übernahme fremder Accounts, während die zweite das Extrahieren von E-Mail-Adressen über öffentliche Benutzernamen erlaubt.
Besonders problematisch ist dabei, dass Lovense-Benutzernamen häufig öffentlich zugänglich sind. Dies betrifft insbesondere Webcam-Models, die diese Geräte beruflich nutzen und ihre Nutzernamen auf verschiedenen Plattformen teilen. Diese Praxis verstärkt die Datenschutzrisiken erheblich.
Technische Analyse der E-Mail-Extraktions-Schwachstelle
Die identifizierte Sicherheitslücke basiert auf einer fehlerhaften Implementierung zwischen dem XMPP-basierten Chat-System und der Server-Infrastruktur. Der Angriffsprozess erfolgt in mehreren systematischen Schritten:
Zunächst sendet der Angreifer einen POST-Request an den API-Endpunkt /api/wear/genGtoken, um Authentifizierungstoken und AES-CBC-Verschlüsselungsschlüssel zu erhalten. Anschließend wird der Ziel-Benutzername mit den erhaltenen Schlüsseln verschlüsselt und über den Endpunkt /app/ajaxCheckEmailOrUserIdRegisted übertragen.
Das System antwortet mit gefälschten E-Mail-Daten, die in eine Jabber-ID für den Lovense-XMPP-Server umgewandelt werden. Nach dem Hinzufügen der falschen JID zur Kontaktliste und dem Senden einer Abonnement-Anfrage enthüllt das System die echte JID mit der tatsächlichen E-Mail-Adresse im Format [email protected].
Automatisierbarkeit und Skalierbarkeit der Angriffe
Die Forscher demonstrierten die vollständige Automatisierbarkeit dieser Attacke – die Extraktion einer E-Mail-Adresse dauert mit entsprechenden Skripten weniger als eine Sekunde. Kritisch ist dabei, dass kein Einverständnis des Opfers für eine erfolgreiche Freundschaftsanfrage erforderlich ist.
Die Lovense FanBerry-Erweiterung verstärkt diese Bedrohung zusätzlich, da sie für die Massensammlung von Benutzernamen genutzt werden kann. Viele Content-Creator verwenden identische Nutzernamen auf verschiedenen Plattformen, was die Identifizierung und gezielte Angriffe erheblich vereinfacht.
Unzureichende Reaktion auf Sicherheitswarnungen
Obwohl die Sicherheitsforscher Lovense am 26. März 2024 über beide Schwachstellen informierten, zeigt die Unternehmensreaktion besorgniserregende Muster. Initial versuchte das Unternehmen, die Schwere der Account-Takeover-Vulnerabilität zu minimieren. Erst nach der Demonstration eines erfolgreichen Zugriffs auf administrative Konten wurde die Schwachstelle als kritisch eingestuft.
Bis Juli 2024 hatte Lovense lediglich die kritische Account-Übernahme-Schwachstelle behoben. Für die E-Mail-Extraktions-Problematik gab das Unternehmen einen Zeitrahmen von 14 Monaten an, begründet durch notwendige Kompatibilitätserhaltung mit älteren App-Versionen.
Wiederkehrende Sicherheitsprobleme in der Unternehmenshistorie
Diese Vorfälle reihen sich in eine beunruhigende Historie von Sicherheitsmängeln ein. 2017 wurde entdeckt, dass die Lovense-Anwendung sämtliche Audiodaten während der Gerätenutzung aufzeichnete und lokal auf Mobilgeräten speicherte. Das Unternehmen bezeichnete diese Funktionalität damals als „geringfügigen Bug“.
ESET-Experten identifizierten 2021 weitere Sicherheitslücken, einschließlich der Möglichkeit, Verbindungstoken für Lovense-Geräte durch Brute-Force-Angriffe zu kompromittieren. Diese Erkenntnisse verdeutlichen systematische Schwächen in der Cybersecurity-Strategie des Unternehmens.
Die aufgedeckten Schwachstellen unterstreichen die kritische Bedeutung robuster Datenschutzmaßnahmen für Intimgerätehersteller. Unternehmen in diesem sensiblen Marktsegment müssen höchste Sicherheitsstandards implementieren und zeitnah auf identifizierte Vulnerabilitäten reagieren, da Datenkompromittierungen schwerwiegende Auswirkungen auf Reputation und Privatsphäre der Nutzer haben können.
