Die Sicherheitsexperten von Kaspersky haben im System eines beliebten Spielzeugroboters Schwachstellen entdeckt, durch die Fremde per Videochat heimlich Kontakt zu Kindern aufnehmen und deren Standort erfahren könnten [1]. Als potenzielles Eintrittstor dienen fehlende Zugangskontrollen und mangelnde Passwortsicherung. Der Zugriff auf sensible Daten wie Name, Geschlecht und Alter des Kindes ist ebenso möglich.
Der Roboter für Kinder auf Android-Basis verfügt über eine eingebaute Videokamera mit Mikrofon und ist in der Lage, via künstlicher Intelligenz Kinder aufgrund ihres Namens zu erkennen, mit ihnen zu interagieren und seine Reaktion an die Stimmung des Kindes anzupassen.
Bei der Ersteinrichtung muss das Smart Toy mit einem WLAN-Netzwerk verbunden und einem Smartphone oder Tablet – vorzugsweise der Eltern – gekoppelt werden. Hier werden zudem Name und Alter des Kindes abgefragt. Dafür ist eine API (Application Programming Interface) zuständig. Genau an dieser Stelle entdeckten die Kaspersky-Experten eine pikante Sicherheitslücke: Die API verfügt über keine Authentifizierungsprüfung, die den Zugriff auf Netzwerkressourcen schützt. Dies könnte Cyberkriminellen ermöglichen, auf sensible Daten wie Name, Alter, Geschlecht und Wohnsitz des Kindes zuzugreifen sowie die IP-Adresse des Gerätes abzufangen.
Hacker könnten über die Schnittstelle nicht nur den gesamten Netzwerkverkehr überwachen und analysieren, sondern auch auf Kamera und Mikrofon des Roboters zugreifen und ohne Kontrolle und Wissen der Eltern Anrufe hierauf tätigen. Nimmt das Kind einen solchen Anruf an, könnte der Hacker unbemerkt mit ihm kommunizieren, es manipulieren und schlimmstenfalls aus der Wohnung locken oder zu einem anderen riskanten Verhalten überreden.
Darüber hinaus ermöglichen es die Sicherheitslücken in der Eltern-App einem Angreifer, per Fernzugriff die Kontrolle über den Roboter zu übernehmen und unberechtigten Zugriff auf das Netzwerk zu erlangen. Mit Hilfe von Brute-Force-Methoden kann der Angreifer das sechsstellige Einmalpasswort (One Time Password, OTP) wieder herstellen und den Roboter unter seine alleinige Kontrolle bringen. Dies geschieht, indem der Angreifer das OTP mit seinem eigenen Konto verknüpft und den eigentlichen Besitzer ausschließt. Hierbei begünstigen ihn die unbegrenzten Fehlversuche bei der Passworteingabe.
„Beim Kauf von smartem Spielzeug sollten Eltern nicht nur auf den Unterhaltungs- und Bildungswert, sondern auch auf deren Sicherheits- und Schutzfunktionen achten. Viele Verbraucher nehmen an, dass ein höherer Preis für mehr Sicherheit steht. Doch auch das teuerste Smart Toy kann anfällig für Schwachstellen sein, die Angreifer für ihre Zwecke missbrauchen können. Eltern sollten daher sorgfältig die Bewertungen der Spielzeuge prüfen und ihre Kinder beim Spielen im Auge behalten", erklärt Nikolay Frolov, Senior Security Researcher bei Kaspersky ICS CERT.
Die Ergebnisse dieser Kaspersky-Untersuchung wurden während der Podiumsdiskussion „Empowering the Vulnerable in the Digital Environment" auf dem Mobile World Congress (MWC) 2024 vorgestellt. Die Kaspersky-Experten meldeten alle entdeckten Schwachstellen dem Hersteller, der umgehend Patches lieferte.
Weitere Informationen zur Untersuchung der Kaspersky-Experten sind verfügbar unter https://www.kaspersky.com/blog/robot-toy-security-issue/50630/; technische Details unter https://securelist.com/smart-robot-security-research/111938/.
[1] https://www.kaspersky.com/blog/robot-toy-security-issue/50630/