Sicherheitslücken in intelligenten Kinderspielzeugen entdeckt

Diese Sicherheitslücke ermöglicht es Hackern, das Robotersystem so zu steuern, dass es ohne elterliche Zustimmung Videogespräche mit Kindern führt. Darüber hinaus birgt die Nutzung dieses Robotersystems weitere Gefahren, wie beispielsweise den Diebstahl persönlicher Daten von Kindern, darunter Name, Geschlecht, Alter und sogar der geografische Standort.

Dieser Android-basierte Kinderroboter ist mit Kamera und Mikrofon ausgestattet und nutzt künstliche Intelligenz, um Kinder zu erkennen und zu benennen. Er passt seine Reaktionen automatisch an die Stimmung des Kindes an und lernt es mit der Zeit immer besser kennen. Um alle Funktionen des Roboters nutzen zu können, müssen Eltern eine Steuerungs-App auf ihr Mobilgerät herunterladen. Mit dieser App können Eltern den Lernfortschritt ihres Kindes verfolgen und sogar Videoanrufe über den Roboter mit dem Kind führen.

Während der Einrichtungsphase werden Eltern angewiesen, den Roboter per WLAN mit ihrem Mobilgerät zu verbinden und anschließend Name und Alter des Kindes einzugeben. Kaspersky-Experten entdeckten jedoch ein besorgniserregendes Sicherheitsproblem: Die Programmierschnittstelle (API), die die Kinderdaten anfordert, verfügt über keine Authentifizierungsfunktion. Diese ist jedoch eine wichtige Sicherheitsmaßnahme, um zu bestätigen, wer Zugriff auf die Netzwerkressourcen des Nutzers hat.

Dies birgt das Risiko, dass Cyberkriminelle eine Vielzahl von Daten abfangen und stehlen können, darunter Namen, Alter, Geschlecht, Wohnsitzländer und sogar IP-Adressen von Kindern, indem sie deren Netzwerkzugriffshäufigkeit abfangen und analysieren.

Diese Sicherheitslücke ermöglicht es einem Angreifer, einen Live-Videoanruf mit einem Kind zu starten und dabei die Zustimmung der Eltern vollständig zu umgehen. Nimmt das Kind den Anruf an, kann der Angreifer heimlich Informationen mit dem Kind austauschen, ohne die Erlaubnis der Eltern. In diesem Fall kann der Angreifer das Kind manipulieren , es aus dem Haus locken oder es zu gefährlichen Handlungen verleiten.

Darüber hinaus könnten Sicherheitslücken in der App auf dem Mobilgerät der Eltern es einem Angreifer ermöglichen, den Roboter fernzusteuern und unbefugten Zugriff auf das Netzwerk zu erlangen. Durch Brute-Force-Angriffe zum Erraten des OTP-Passworts und die Ausnutzung der Möglichkeit unbegrenzter fehlgeschlagener Anmeldeversuche könnte der Angreifer den Roboter aus der Ferne mit seinem eigenen Konto verknüpfen und so die Kontrolle des Besitzers über das Gerät unterbinden.

Nikolay Frolov, leitender Sicherheitsforscher bei Kaspersky ICS CERT, kommentierte: „Beim Kauf von Smart Toys ist es wichtig, neben dem Unterhaltungs- und Lernwert auch die Sicherheitsmerkmale zu berücksichtigen. Zwar herrscht die allgemeine Annahme vor, dass höhere Preise auch bessere Sicherheit bedeuten, doch selbst die teuersten Smart Toys sind nicht völlig immun gegen Sicherheitslücken, die Angreifer ausnutzen können. Eltern sollten daher Spielzeugbewertungen sorgfältig lesen, Smart-Geräte stets auf dem neuesten Stand halten und die Spielaktivitäten ihrer Kinder genau beobachten.“