Vernetzte Kinderspielzeuge können eine Menge Spaß machen und die Fantasie der Kinder beflügeln. Doch wie so oft im Leben, gibt es auch hier eine Kehrseite der Medaille. Eine Untersuchung eines anonymen Spielroboters mit Mikrofon, Kamera und WLAN-Zugriff hat gezeigt, dass diese vernetzten Spielzeuge erhebliche Sicherheitsrisiken darstellen können und die Privatsphäre von Kindern gefährden.
Das Kaspersky-Team für Industriesysteme hat bei der Analyse des auf Android basierenden Spielzeugs mehrere schwerwiegende Sicherheitslücken entdeckt. Bereits bei der Inbetriebnahme des Roboters traten Probleme auf. Konfigurationsparameter wurden unverschlüsselt übertragen und waren leicht zu erraten. Als wäre das nicht genug, wurden dem Roboter auch noch Zugriffsschlüssel für externe APIs übergeben, die ein Angreifer mit Netzwerkzugriff abfangen könnte. Und als Sahnehäubchen wurden die persönlichen Daten der Eltern einfach unverschlüsselt übertragen. Da kann man nur den Kopf schütteln.
Aber das war noch nicht alles. Besonders beunruhigend war die Analyse der Protokolle der Video-Anrufe über einen Cloud-Dienst des Herstellers. Hier gab es nämlich eine fehlerhafte Autorisierungsüberprüfung, die es Angreifern ermöglichte, beliebige Roboter anzurufen. Auf dem Bildschirm des Geräts wurde dann ganz dreist “Elternteil ruft an” angezeigt. Das eröffnete die Möglichkeit, dass bösartige Personen direkt in das Kinderzimmer eindringen und die Kleinen belästigen konnten. Das ist wirklich gruselig.
Aber das war immer noch nicht alles. Es war sogar möglich, den Roboter vollständig zu übernehmen, indem sich ein Angreifer als Elternteil ausgab und die echten Eltern ausschloss. Natürlich musste dafür eine One-Time-Password-Abfrage überwunden werden, aber der Angreifer hatte unendlich viele Versuche zur Verfügung. Als wäre das nicht genug, konnte sich der Roboter-Hijacker auch noch über die API einen zusätzlichen OTP-Code besorgen, um sich erneut mit der Eltern-App zu verbinden. Da kann man nur den Kopf schütteln.
Aber es gibt auch eine gute Nachricht: Der Hersteller wurde im März des letzten Jahres von Kaspersky kontaktiert und hat die Sicherheitslücken innerhalb weniger Monate behoben. Außerdem hat er die volle Verantwortung für die Sicherheitsprobleme übernommen. Das ist ein Lichtblick in dieser düsteren Geschichte.
Die Analysten von Kaspersky empfehlen Eltern jedoch, sehr sorgfältig zu überlegen, welche vernetzten Spielzeuge sie ihren Kindern in die Hand geben. Die Existenz von vernetzten Spielzeugen mit Spionagefunktionen ist kein neues Phänomen. Bereits vor einigen Jahren hat die Bundesnetzagentur Maßnahmen ergriffen, um zu neugierige Spielzeuge einzudämmen. Und auch vernetzte Sexspielzeuge haben seit Jahren mit Sicherheitsproblemen zu kämpfen. Da ist es nur vernünftig, die Sicherheit solcher vernetzten Geräte kritisch zu hinterfragen.
Es bleibt zu hoffen, dass die Hersteller die Sicherheit ihrer Produkte weiter verbessern und die Privatsphäre der Nutzer besser schützen werden. Denn am Ende des Tages sollten Spielzeuge vor allem eins sein: sicher und spaßig für die Kinder.
Schlagwörter: Android + Zugriffsschlüssel + OTP
Wie bewerten Sie den Schreibstil des Artikels?