Lovense: Sexspielzeug App mit Sicherheitslücke

Lovense: Die Sexspielzeug App hat eine massive Sicherheitslücke, durch die Nutzerdaten abgegriffen und missbräuchlich verwendet werden können. Wie das Branchenportal Golem berichtet, ist es einem Spezialisten gelungen, fremde Nutzernamen in E-Mail-Adressen umzuwandeln und die zugehörigen Konten ohne Passwort zu übernehmen. Der Sicherheitsforscher mit dem Pseudonym BobDaHacker schreibt in einem Blogbeitrag, dass Angreifer nicht nur die E-Mail-Adressen fremder Nutzer einsehen können, sondern auch deren Nutzerkonten kapern können.

Der Hersteller von Sexspielzeug soll zudem von den Problemen seit Jahren wissen, diese aber nur teilweise beseitigt haben. BobDaHacker erklärt, dass ihm die Sicherheitslücke bei der Analyse der Lovense-API aufgefallen sei. Der Forscher hatte in der App lediglich einen anderen Nutzer auf stumm geschaltet. Daraufhin tauchte in der API-Antwort die zugehörige E-Mail-Adresse auf.

Lovense Sexspielzeug App mit Sicherheitslücke

Der Sicherheitsspezialist programmierte daraufhin erfolgreich ein Skript, um automatisiert Lovense-Nutzernamen in E-Mail-Adressen umzuwandeln. An die betreffenden Nutzernamen zu gelangen, scheint alles andere als schwierig zu sein. Bleeping Computer berichtet, dass diese oftmals auf Lovense-bezogenen Webseiten und in Online-Foren zu finden seien. BobDaHacker sieht hier insbesondere für Cam-Models eine große Gefahr, da diese ihre Benutzernamen oft öffentlich teilen.

Der Forscher konnte jedoch nicht nur E-Mail-Adressen auslesen, sondern mit diesen sogar fremde Nutzerkonten übernehmen, ohne das zugehörige Passwort zu kennen. BobDaHacker belegt dies mit der Schilderung, wie er zusammen mit einer Nutzerin namens Eva anhand einer Mail-Adresse über die Lovense-Connect-App einen Authentifizierungstoken generieren konnte.

Nutzernamen in E-Mail-Adressen umgewandelt

Der Angriff ließ sich laut BobDaHacker auf weitere Dienste wie Streammaster und Cam101 ausweiten. „Buchstäblich jeder konnte jedes Konto übernehmen, wenn er nur die E-Mail-Adresse kannte“, schreibt der Forscher. Selbst Admin-Konten sollen für diesen Angriff anfällig gewesen sein. Der Forscher hat seine Entdeckungen nach eigenen Angaben bereits am 26. März 2025 über das Projekt Internet of Dongs, das es sich zur Aufgabe gemacht hat, mit dem Internet verbundene Sexspielzeuge sicherer zu machen, an Lovense gemeldet.

Der Umgang des Herstellers mit den gemeldeten Problemen erwies sich jedoch als äußerst fragwürdig. Immerhin erhielt der Forscher insgesamt 3.000 US-Dollar an Bug-Bounty-Prämien. Lovense erklärte dann am 7. April 2025, dass die Problematik der möglichen Übernahme fremder Nutzerkonten gelöst worden sei. BobDaHacker widersprach dem und nach einer ausführlichen E-Mail mit weiteren Informationen soll der Hersteller noch einmal nachgebessert haben.

Offenbar Übernahme von Nutzerkonten möglich

Mit Stand Juli 2025 soll es zwar immer noch möglich sein, ohne Angabe des Passwortes Authentifizierungstoken zu generieren, diese werden von der API aber nicht mehr akzeptiert. Das unbefugte Auslesen von E-Mail-Adressen soll hingegen weiterhin möglich sein. Lovense erklärte, ein vollständiger Fix erfordere tiefgreifende Änderungen an der Architektur der Anwendung. Bis zur Lösung des Problems werde es rund 14 Monate dauern.

Ein schnellerer Fix innerhalb weniger Wochen sei zwar möglich, jedoch gehe dieser zulasten der Kompatibilität mit älteren Softwareversionen. Benutzer wären dann gezwungen, sofort ein Upgrade durchzuführen. „Wir haben uns gegen diesen Ansatz und für eine stabilere und benutzerfreundlichere Lösung entschieden“, so der Hersteller. Das Verhalten des Unternehmens wirft somit Fragen, zudem sollen Lovense die geschilderten Probleme seit Jahren bekannt zu sein.

Hersteller von Sexspielzeug ignoriert Warnungen

Als Reaktion auf die Veröffentlichungen von BobDaHacker behauptet eine andere Sicherheitsexpertin namens Krissy bereits im September 2023 vergleichbare Entdeckungen gemacht und an Lovense gemeldet zu haben. Der Sexspielzeug-Hersteller soll damals die Probleme nur als mittelschwer eingestuft und eine Bug-Bounty-Prämie von 350 US-Dollar gezahlt haben. Das Unternehmen erklärte dann später, die Sicherheitslücken korrigiert zu haben. Das war jedoch offensichtlich nicht der Fall.

Damit aber nicht genug, die Untätigkeit von Lovense reicht offenbar noch viel weiter zurück in die Vergangenheit: Ein X-Nutzer namens Panther behauptet, er habe das Leaken der E-Mail-Adressen schon 2018 entdeckt und gemeldet, der Hersteller habe ihn jedoch damals ignoriert. Wann dieses Problem tatsächlich beseitigt wird, bleibt also fraglich. Gegenüber Bleeping Computer erklärte Lovense, in den jeweiligen App-Stores stehe bereits eine gepatchte Version bereit und das Problem sei schon seit Ende Juni behoben. BobDaHacker widerspricht dem jedoch und behauptet in seinem Blogbeitrag, dass der von ihm geschilderte Angriff nach wie vor unverändert funktioniert.

Quellenangabe: Golem