28. Februar 2024

Spielzeugroboter: Kaspersky-Experten entdecken Schwachstellen

Heimliche Videochats mit Kindern möglich
Zugriff auf sensible Daten wie Name, Geschlecht und Alter
Kaspersky-Untersuchung auf dem Mobile World Congress (MWC) 2024 vorgestellt

Die Sicherheitsexperten von Kaspersky haben im System eines beliebten Spielzeugroboters Schwachstellen entdeckt, durch die Fremde per Videochat heimlich Kontakt zu Kindern aufnehmen und deren Standort erfahren könnten [1]. Als potenzielles Eintrittstor dienen fehlende Zugangskontrollen und mangelnde Passwortsicherung. Der Zugriff auf sensible Daten wie Name, Geschlecht und Alter des Kindes ist ebenso möglich.

Der Roboter für Kinder auf Android-Basis verfügt über eine eingebaute Videokamera mit Mikrofon und ist in der Lage, via künstlicher Intelligenz Kinder aufgrund ihres Namens zu erkennen, mit ihnen zu interagieren und seine Reaktion an die Stimmung des Kindes anzupassen.

Direkter Draht zum Kind wegen fehlender Authentifizierung

Bei der Ersteinrichtung muss das Smart Toy mit einem WLAN-Netzwerk verbunden und einem Smartphone oder Tablet – vorzugsweise der Eltern – gekoppelt werden. Hier werden zudem Name und Alter des Kindes abgefragt. Dafür ist eine API (Application Programming Interface) zuständig. Genau an dieser Stelle entdeckten die Kaspersky-Experten eine pikante Sicherheitslücke: Die API verfügt über keine Authentifizierungsprüfung, die den Zugriff auf Netzwerkressourcen schützt. Dies könnte Cyberkriminellen ermöglichen, auf sensible Daten wie Name, Alter, Geschlecht und Wohnsitz des Kindes zuzugreifen sowie die IP-Adresse des Gerätes abzufangen.

Hacker könnten über die Schnittstelle nicht nur den gesamten Netzwerkverkehr überwachen und analysieren, sondern auch auf Kamera und Mikrofon des Roboters zugreifen und ohne Kontrolle und Wissen der Eltern Anrufe hierauf tätigen. Nimmt das Kind einen solchen Anruf an, könnte der Hacker unbemerkt mit ihm kommunizieren, es manipulieren und schlimmstenfalls aus der Wohnung locken oder zu einem anderen riskanten Verhalten überreden.

Vollständige Fremdkontrolle durch Brute-Force-Angriff

Darüber hinaus ermöglichen es die Sicherheitslücken in der Eltern-App einem Angreifer, per Fernzugriff die Kontrolle über den Roboter zu übernehmen und unberechtigten Zugriff auf das Netzwerk zu erlangen. Mit Hilfe von Brute-Force-Methoden kann der Angreifer das sechsstellige Einmalpasswort (One Time Password, OTP) wieder herstellen und den Roboter unter seine alleinige Kontrolle bringen. Dies geschieht, indem der Angreifer das OTP mit seinem eigenen Konto verknüpft und den eigentlichen Besitzer ausschließt. Hierbei begünstigen ihn die unbegrenzten Fehlversuche bei der Passworteingabe.

„Beim Kauf von smartem Spielzeug sollten Eltern nicht nur auf den Unterhaltungs- und Bildungswert, sondern auch auf deren Sicherheits- und Schutzfunktionen achten. Viele Verbraucher nehmen an, dass ein höherer Preis für mehr Sicherheit steht. Doch auch das teuerste Smart Toy kann anfällig für Schwachstellen sein, die Angreifer für ihre Zwecke missbrauchen können. Eltern sollten daher sorgfältig die Bewertungen der Spielzeuge prüfen und ihre Kinder beim Spielen im Auge behalten", erklärt Nikolay Frolov, Senior Security Researcher bei Kaspersky ICS CERT.

Die Ergebnisse dieser Kaspersky-Untersuchung wurden während der Podiumsdiskussion „Empowering the Vulnerable in the Digital Environment" auf dem Mobile World Congress (MWC) 2024 vorgestellt. Die Kaspersky-Experten meldeten alle entdeckten Schwachstellen dem Hersteller, der umgehend Patches lieferte.

Kaspersky-Empfehlungen zum Schutz von Smart Toys und anderen IoT-Geräten

Geräte auf dem neuesten Stand halten: Regelmäßig die Firmware und Software aller angeschlossenen Geräte aktualisieren, auch die von Smart Toys. Updates enthalten häufig wichtige Sicherheitspatches, die kritische Schwachstellen beheben.
Vor der Anschaffung recherchieren: Vor dem Kauf eines Smart Toys oder eines anderen vernetzten Geräts sollten Eltern sich über die Sicherheits- und Datenschutzvorkehrungen des Herstellers informieren. Bevorzugt werden sollten Geräte namhafter Hersteller, die für hohe Sicherheitsstandards bekannt sind und regelmäßig Updates liefern.
App-Berechtigungen genau prüfen: Berechtigungen für Apps von vernetzten Geräten gilt es zu überprüfen und zu begrenzen. Die App sollte nur auf unbedingt notwendige Funktionen und Daten zugreifen können.
Nicht benötigte Geräte ausschalten: Dies verhindert, dass die Geräte Daten sammeln. Verfügt das Gerät über ein Mikrofon, sollte es bei Nichtbenutzung an einem schwer zugänglichen Ort aufbewahrt werden. Integrierte Kameras können weggedreht oder abgedeckt werden, solange sie nicht verwendet werden.
Zuverlässige Sicherheitslösungen verwenden: Um das gesamte Smart-Home-Ökosystem zu sichern und schützen, sollte eine zuverlässige Sicherheitslösung wie zum Beispiel Kaspersky Premium [2] genutzt werden.

Weitere Informationen zur Untersuchung der Kaspersky-Experten sind verfügbar unter https://www.kaspersky.com/blog/robot-toy-security-issue/50630/; technische Details unter https://securelist.com/smart-robot-security-research/111938/.

[1] https://www.kaspersky.com/blog/robot-toy-security-issue/50630/

[2] https://kas.pr/re3t