App für Sexspielzeuge leakt Nutzerdaten
Verfasst: Mittwoch 30. Juli 2025, 19:46
Ein Forscher konnte fremde Lovense-Nutzernamen in E-Mail-Adressen umwandeln und die zugehörigen Konten ohne Passwort kapern. Die Reaktion des Herstellers wirft Fragen auf.
Ein Sicherheitsforscher, der sich selbst BobDaHacker nennt, hat Sicherheitslücken in einer App des Sexspielzeugherstellers Lovense aufgedeckt. Wie der Forscher in einem Blogbeitrag erklärt, können Angreifer damit nicht nur die E-Mail-Adressen fremder Nutzer abgreifen, sondern auch deren Nutzerkonten kapern. Der Hersteller scheint die Probleme bisher nur teilweise beseitigt zu haben – und das obwohl er schon vor Jahren darauf aufmerksam gemacht wurde.
Das leaken der E-Mail-Adresse ist BobDaHacker demnach bei der Untersuchung einer Antwort der Lovense-API aufgefallen. Der Forscher hatte in der App lediglich einen anderen Nutzer auf stumm geschaltet. Daraufhin tauchte in der API-Antwort die zugehörige E-Mail-Adresse auf.
BobDaHacker entwickelte darauf basierend ein Skript, um automatisiert Lovense-Nutzernamen in E-Mail-Adressen umzuwandeln. An die Nutzernamen zu gelangen, soll zudem nicht schwer sein. Einem Bericht von Bleeping Computer zufolge sind diese häufig auf Lovense-bezogenen Webseiten und in Foren zu finden. BobDaHacker sieht hier insbesondere für Cam-Models eine große Gefahr, da diese ihre Benutzernamen oft öffentlich teilen.
Kapern fremder Nutzerkonten
Mit den ausgespähten E-Mail-Adressen konnte der Forscher jedoch noch mehr anstellen. In seinem Blogbeitrag beschreibt er detailliert, wie er zusammen mit einer Nutzerin namens Eva anhand einer Mail-Adresse über die Lovense-Connect-App einen Authentifizierungstoken generieren konnte. Damit erhielt er Zugriff auf fremde Nutzerkonten, ohne das zugehörige Passwort zu kennen.
Dieser Angriff ließ sich laut BobDaHacker auf weitere Dienste wie Streammaster und Cam101 ausweiten. "Buchstäblich jeder konnte jedes Konto übernehmen, wenn er nur die E-Mail-Adresse kannte", schreibt der Forscher. Selbst Admin-Konten sollen für diesen Angriff anfällig gewesen sein.
Hersteller braucht mehrere Anläufe
BobDaHacker hat seine Entdeckungen nach eigenen Angaben schon am 26. März über das Projekt Internet of Dongs, das es sich zur Aufgabe gemacht hat, mit dem Internet verbundene Sexspielzeuge sicherer zu machen, an Lovense gemeldet. Der Umgang des Herstellers mit den gemeldeten Problemen erwies sich jedoch als äußerst fragwürdig. Immerhin erhielt der Forscher insgesamt 3.000 US-Dollar an Bug-Bounty-Prämien.
Bezüglich der möglichen Übernahme fremder Nutzerkonten erklärte Lovense Anfang Juni, das Problem sei am 7. April gelöst worden, was jedoch nach Angaben des Forschers falsch ist. Nach einer umfassenden E-Mail mit weiteren Erklärungen besserte der Hersteller noch einmal nach. Nun ist es zwar immer noch möglich, ohne Angabe des Passwortes Authentifizierungstoken zu generieren, immerhin werden diese aber von der API nicht mehr akzeptiert.
E-Mail-Leak wohl schon seit 2018 bekannt
Das Abgreifen der E-Mail-Adressen soll hingegen weiterhin möglich sein. Lovense erklärte, ein vollständiger Fix erfordere tiefgreifende Änderungen an der Architektur der Anwendung. Bis zur Lösung des Problems werde es rund 14 Monate dauern. Ein schnellerer Fix innerhalb weniger Wochen sei zwar möglich, jedoch gehe dieser zulasten der Kompatibilität mit älteren Softwareversionen. Benutzer wären dann gezwungen, sofort ein Upgrade durchzuführen. "Wir haben uns gegen diesen Ansatz und für eine stabilere und benutzerfreundlichere Lösung entschieden", so der Hersteller.
Tatsächlich scheinen Lovense die geschilderten Probleme schon seit Jahren bekannt zu sein. Eine andere Sicherheitsforscherin namens Krissy behauptete gegenüber BobDaHacker, schon im September 2023 die gleichen Entdeckungen gemacht und an den Hersteller gemeldet zu haben. Damals soll Lovense die Probleme nur als mittelschwer eingestuft und eine Bug-Bounty-Prämie von 350 US-Dollar gezahlt haben. Der Hersteller erklärte später, man habe alles gefixt. Das war jedoch offensichtlich nicht der Fall.
Doch die offenkundige Untätigkeit von Lovense reicht noch weiter in die Vergangenheit. Ein X-Nutzer namens Panther behauptet, er habe das Leaken der E-Mail-Adressen schon 2018 entdeckt und gemeldet, der Hersteller habe ihn jedoch damals ignoriert.
Wann dieses Problem tatsächlich beseitigt wird, bleibt also fraglich. Gegenüber Bleeping Computer erklärte Lovense, in den jeweiligen App-Stores stehe bereits eine gepatchte Version bereit und das Problem sei schon seit Ende Juni behoben. BobDaHacker widerspricht dem jedoch und behauptet in seinem Blogbeitrag, dass der von ihm geschilderte Angriff nach wie vor unverändert funktioniert.
Ein Sicherheitsforscher, der sich selbst BobDaHacker nennt, hat Sicherheitslücken in einer App des Sexspielzeugherstellers Lovense aufgedeckt. Wie der Forscher in einem Blogbeitrag erklärt, können Angreifer damit nicht nur die E-Mail-Adressen fremder Nutzer abgreifen, sondern auch deren Nutzerkonten kapern. Der Hersteller scheint die Probleme bisher nur teilweise beseitigt zu haben – und das obwohl er schon vor Jahren darauf aufmerksam gemacht wurde.
Das leaken der E-Mail-Adresse ist BobDaHacker demnach bei der Untersuchung einer Antwort der Lovense-API aufgefallen. Der Forscher hatte in der App lediglich einen anderen Nutzer auf stumm geschaltet. Daraufhin tauchte in der API-Antwort die zugehörige E-Mail-Adresse auf.
BobDaHacker entwickelte darauf basierend ein Skript, um automatisiert Lovense-Nutzernamen in E-Mail-Adressen umzuwandeln. An die Nutzernamen zu gelangen, soll zudem nicht schwer sein. Einem Bericht von Bleeping Computer zufolge sind diese häufig auf Lovense-bezogenen Webseiten und in Foren zu finden. BobDaHacker sieht hier insbesondere für Cam-Models eine große Gefahr, da diese ihre Benutzernamen oft öffentlich teilen.
Kapern fremder Nutzerkonten
Mit den ausgespähten E-Mail-Adressen konnte der Forscher jedoch noch mehr anstellen. In seinem Blogbeitrag beschreibt er detailliert, wie er zusammen mit einer Nutzerin namens Eva anhand einer Mail-Adresse über die Lovense-Connect-App einen Authentifizierungstoken generieren konnte. Damit erhielt er Zugriff auf fremde Nutzerkonten, ohne das zugehörige Passwort zu kennen.
Dieser Angriff ließ sich laut BobDaHacker auf weitere Dienste wie Streammaster und Cam101 ausweiten. "Buchstäblich jeder konnte jedes Konto übernehmen, wenn er nur die E-Mail-Adresse kannte", schreibt der Forscher. Selbst Admin-Konten sollen für diesen Angriff anfällig gewesen sein.
Hersteller braucht mehrere Anläufe
BobDaHacker hat seine Entdeckungen nach eigenen Angaben schon am 26. März über das Projekt Internet of Dongs, das es sich zur Aufgabe gemacht hat, mit dem Internet verbundene Sexspielzeuge sicherer zu machen, an Lovense gemeldet. Der Umgang des Herstellers mit den gemeldeten Problemen erwies sich jedoch als äußerst fragwürdig. Immerhin erhielt der Forscher insgesamt 3.000 US-Dollar an Bug-Bounty-Prämien.
Bezüglich der möglichen Übernahme fremder Nutzerkonten erklärte Lovense Anfang Juni, das Problem sei am 7. April gelöst worden, was jedoch nach Angaben des Forschers falsch ist. Nach einer umfassenden E-Mail mit weiteren Erklärungen besserte der Hersteller noch einmal nach. Nun ist es zwar immer noch möglich, ohne Angabe des Passwortes Authentifizierungstoken zu generieren, immerhin werden diese aber von der API nicht mehr akzeptiert.
E-Mail-Leak wohl schon seit 2018 bekannt
Das Abgreifen der E-Mail-Adressen soll hingegen weiterhin möglich sein. Lovense erklärte, ein vollständiger Fix erfordere tiefgreifende Änderungen an der Architektur der Anwendung. Bis zur Lösung des Problems werde es rund 14 Monate dauern. Ein schnellerer Fix innerhalb weniger Wochen sei zwar möglich, jedoch gehe dieser zulasten der Kompatibilität mit älteren Softwareversionen. Benutzer wären dann gezwungen, sofort ein Upgrade durchzuführen. "Wir haben uns gegen diesen Ansatz und für eine stabilere und benutzerfreundlichere Lösung entschieden", so der Hersteller.
Tatsächlich scheinen Lovense die geschilderten Probleme schon seit Jahren bekannt zu sein. Eine andere Sicherheitsforscherin namens Krissy behauptete gegenüber BobDaHacker, schon im September 2023 die gleichen Entdeckungen gemacht und an den Hersteller gemeldet zu haben. Damals soll Lovense die Probleme nur als mittelschwer eingestuft und eine Bug-Bounty-Prämie von 350 US-Dollar gezahlt haben. Der Hersteller erklärte später, man habe alles gefixt. Das war jedoch offensichtlich nicht der Fall.
Doch die offenkundige Untätigkeit von Lovense reicht noch weiter in die Vergangenheit. Ein X-Nutzer namens Panther behauptet, er habe das Leaken der E-Mail-Adressen schon 2018 entdeckt und gemeldet, der Hersteller habe ihn jedoch damals ignoriert.
Wann dieses Problem tatsächlich beseitigt wird, bleibt also fraglich. Gegenüber Bleeping Computer erklärte Lovense, in den jeweiligen App-Stores stehe bereits eine gepatchte Version bereit und das Problem sei schon seit Ende Juni behoben. BobDaHacker widerspricht dem jedoch und behauptet in seinem Blogbeitrag, dass der von ihm geschilderte Angriff nach wie vor unverändert funktioniert.