Vernetzte Kinderspielzeuge k\u00f6nnen eine Menge Spa\u00df machen und die Fantasie der Kinder befl\u00fcgeln. Doch wie so oft im Leben, gibt es auch hier eine Kehrseite der Medaille. Eine Untersuchung eines anonymen Spielroboters mit Mikrofon, Kamera und WLAN-Zugriff hat gezeigt, dass diese vernetzten Spielzeuge erhebliche Sicherheitsrisiken darstellen k\u00f6nnen und die Privatsph\u00e4re von Kindern gef\u00e4hrden.<\/p>\n
Das Kaspersky-Team f\u00fcr Industriesysteme hat bei der Analyse des auf Android basierenden Spielzeugs mehrere schwerwiegende Sicherheitsl\u00fccken entdeckt. Bereits bei der Inbetriebnahme des Roboters traten Probleme auf. Konfigurationsparameter wurden unverschl\u00fcsselt \u00fcbertragen und waren leicht zu erraten. Als w\u00e4re das nicht genug, wurden dem Roboter auch noch Zugriffsschl\u00fcssel f\u00fcr externe APIs \u00fcbergeben, die ein Angreifer mit Netzwerkzugriff abfangen k\u00f6nnte. Und als Sahneh\u00e4ubchen wurden die pers\u00f6nlichen Daten der Eltern einfach unverschl\u00fcsselt \u00fcbertragen. Da kann man nur den Kopf sch\u00fctteln.<\/p>\n
Aber das war noch nicht alles. Besonders beunruhigend war die Analyse der Protokolle der Video-Anrufe \u00fcber einen Cloud-Dienst des Herstellers. Hier gab es n\u00e4mlich eine fehlerhafte Autorisierungs\u00fcberpr\u00fcfung, die es Angreifern erm\u00f6glichte, beliebige Roboter anzurufen. Auf dem Bildschirm des Ger\u00e4ts wurde dann ganz dreist „Elternteil ruft an“ angezeigt. Das er\u00f6ffnete die M\u00f6glichkeit, dass b\u00f6sartige Personen direkt in das Kinderzimmer eindringen und die Kleinen bel\u00e4stigen konnten. Das ist wirklich gruselig.<\/p>\n
Aber das war immer noch nicht alles. Es war sogar m\u00f6glich, den Roboter vollst\u00e4ndig zu \u00fcbernehmen, indem sich ein Angreifer als Elternteil ausgab und die echten Eltern ausschloss. Nat\u00fcrlich musste daf\u00fcr eine One-Time-Password-Abfrage \u00fcberwunden werden, aber der Angreifer hatte unendlich viele Versuche zur Verf\u00fcgung. Als w\u00e4re das nicht genug, konnte sich der Roboter-Hijacker auch noch \u00fcber die API einen zus\u00e4tzlichen OTP-Code besorgen, um sich erneut mit der Eltern-App zu verbinden. Da kann man nur den Kopf sch\u00fctteln.<\/p>\n
Aber es gibt auch eine gute Nachricht: Der Hersteller wurde im M\u00e4rz des letzten Jahres von Kaspersky kontaktiert und hat die Sicherheitsl\u00fccken innerhalb weniger Monate behoben. Au\u00dferdem hat er die volle Verantwortung f\u00fcr die Sicherheitsprobleme \u00fcbernommen. Das ist ein Lichtblick in dieser d\u00fcsteren Geschichte.<\/p>\n
Die Analysten von Kaspersky empfehlen Eltern jedoch, sehr sorgf\u00e4ltig zu \u00fcberlegen, welche vernetzten Spielzeuge sie ihren Kindern in die Hand geben. Die Existenz von vernetzten Spielzeugen mit Spionagefunktionen ist kein neues Ph\u00e4nomen. Bereits vor einigen Jahren hat die Bundesnetzagentur Ma\u00dfnahmen ergriffen, um zu neugierige Spielzeuge einzud\u00e4mmen. Und auch vernetzte Sexspielzeuge haben seit Jahren mit Sicherheitsproblemen zu k\u00e4mpfen. Da ist es nur vern\u00fcnftig, die Sicherheit solcher vernetzten Ger\u00e4te kritisch zu hinterfragen.<\/p>\n
Es bleibt zu hoffen, dass die Hersteller die Sicherheit ihrer Produkte weiter verbessern und die Privatsph\u00e4re der Nutzer besser sch\u00fctzen werden. Denn am Ende des Tages sollten Spielzeuge vor allem eins sein: sicher und spa\u00dfig f\u00fcr die Kinder.<\/p>\n
Schlagw\u00f6rter: Android + Zugriffsschl\u00fcssel + OTP<\/p>\n","protected":false},"excerpt":{"rendered":"
Vernetzte Kinderspielzeuge k\u00f6nnen eine Menge Spa\u00df machen und die Fantasie der Kinder befl\u00fcgeln. Doch wie so oft im Leben, gibt es auch hier eine Kehrseite der Medaille. Eine Untersuchung eines anonymen Spielroboters mit Mikrofon, Kamera und WLAN-Zugriff hat gezeigt, dass diese vernetzten Spielzeuge erhebliche Sicherheitsrisiken darstellen k\u00f6nnen und die Privatsph\u00e4re...<\/p>\n","protected":false},"author":4,"featured_media":5124,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-5125","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/5125","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5125"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/5125\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/5124"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5125"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5125"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5125"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}