Veel fabrikanten buttplugs hebben schijt aan beveiliging

Misschien staat er bij jou ook wel één op je nachtkastje, een op afstand bestuurbare buttplug. Leuk toch, je brengt hem in en je partner kan hem laten trillen met zijn of haar telefoon. Maar dan is het wel te hopen dat de fabrikant van dit apparaat heeft gedacht aan een goede beveiliging.

Onderzoekers van Pen Test Partners, een IT-securitybedrijf in Groot Brittannië, zijn er achter gekomen dat veel van deze apparaten slecht beveiligd zijn. Deze apparaten gebruiken een eenvoudige versie van Bluetooth, Bluetooth Low Energy (BLE) genaamd, en daarbij schort het vaak aan goede beveiliging. Zo heeft de Lovense Hush, een buttplug met InternetOfThings, altijd LVS-Z001 als naam en hebben ze geen of een slecht wachtwoord (0000 of 1234). En dezelfde problemen deden zich voor met andere speeltjes zoals de Kiiroo Fleshlight, Lelo, Lovense Nora and Max.

Volgens een onderzoeker van PTP is het ook wel logisch. "Een probleem is dat er geen user interface in deze apparaten zit om de pincode te veranderen. En waar zou je een user interface in een buttplug moeten bouwen?"

Lopend door een willekeurige straat in Berlijn, met een bluetooth-sniffer, ontdekte een medewerker van PTP diverse Lovense-apparaten en kon ze ook besturen. En eenvoudige commando's waren genoeg om de gadget op volle snelheid te laten trillen. En zolang de researcher in contact bleef met de genotsknots had het "slachtoffer" geen mogelijkheid om het trillen te laten stoppen.

"We zijn er niet op uit om mensen publiek te kakken te zetten." aldus de onderzoeker, "Er is een publiek voor deze apparaten en ze helpen mensen bij een goed sexleven, maar het is ook goed als mensen deze apparaten kunnen vertrouwen."