Fisher-Price: Wenn der Teddy zum Ziel von Hackern werden kann

(Bild: Fisher-Price)

Ein Teddy von Fisher-Price und eine GPS-Uhr für Kinder konnten Daten wie den Namen, das Geburtsdatum und Kontoinformationen preisgeben, weil die Hersteller die Kommunikation mit dem Internet nicht ausreichend abgesichert hatten. Die Lücken sind jetzt gepatcht.

Rapid7 meldet zwei Schwachstellen in Spielzeugen. Betroffen waren ein „Smart Toy“ von Fisher-Price und die GPS-Uhr von HereO, die beide für Kinder ab drei Jahren gedacht sind.

Beim Fisher-Price Smart Toy, eines interaktiven Teddys zum Preis von rund 100 Dollar, konnten Angreifer Informationen über das Kind einschließlich Namen und Geburtsdatum erhalten, Kontodaten ändern und löschen sowie Kontrolle über die im Spielzeug integrierten Funktionen gewinnen. Nicht nur, dass die Programmierschnittstelle sich für diesen Abruf missbrauchen ließ, das System erlaubte auch, massenhaft Daten von Fisher-Price-Kunden abzugreifen, da diese einfach durch eine fortlaufende Nummer identifiziert wurden.

Sicherheitsforscher Mark Stanislav schreibt in einem Blogbeitrag, ein Angreifer könne die Funktionen des Spielzeugs manipulieren und so im Rahmen der vorgesehenen Möglichkeiten Aktionen veranlassen, die das Kind nicht beabsichtigte.

Im Fall der GPS-Plattform von HereO konnten Angreifer aufgrund des Fehlers ein weiteres Nutzerkonto innerhalb einer Familie einrichten und von dort aus Aufenthaltsort sowie Profildetails jedes Familienmitglieds einsehen oder Nachrichten an sie senden. Dies umfasste auch frühere Aufenthaltsorte.

Beide Produkte scheinen nicht auf dem deutschen Markt erhältlich zu sein. HereO begrüßt Nutzer aus Deutschland aber mit einer Infoseite samt Vorbestellmöglichkeit zum Preis von 179 Dollar, was ein Abonnement des Ortungsdiensts für die ersten drei Monate einschließt. Die HereO-GPS-Uhr enthält eine SIM-Karte, die in über 120 Ländern automatisch eine Verbindung zu einem Netz herstellen kann.

In beiden Fällen wurden die Hersteller direkt von Rapid7 kontaktiert und behoben die Fehler innerhalb der gesetzten Frist von drei Monaten. Rapid7 interpretiert die gefundenen Lücken in der Authentifizierung der Geräte als symptomatisch fürs Internet der Dinge. Im September letzten Jahres hatte es auf ein ähnliches Zugriffsrisiko bei einem Video-Babyfon hingewiesen.

Rapid7-Forscher Tod Beardsley erklärte ZDNet.com auf Nachfrage per E-Mail, es gebe keine Hinweise auf aktive Angriffe über die gefundenen Lücken. Er äußerte sich positiv über die Bereitschaft der Firmen, die Schwachstellen zu beheben. „Das scheint mir ein Schritt in die richtige Richtung zu sein.“

Ein Grund ist nach seiner Vermutung der Angriff auf den Lerncomputerhersteller VTech aus Hongkong vom vergangenen Herbst, bei dem Angreifer Daten von weltweit fast 6,4 Millionen Kindern erbeuteten, darunter eine halbe Million aus Deutschland. Es handelte sich unter anderem um 190 GByte Fotos, die überwiegend Gesichter von Eltern und Kindern zeigten. Viele von ihnen ließen sich eindeutig den Nutzerkonten zuordnen.

Dieser Fall habe einige Firmen empfänglicher für Fehlerberichte gemacht, sagt Beardsley. „Es wäre mir zwar lieber, wenn Firmen ihre knappen Ressourcen auf ein sicheres Design und Sicherheitsprüfungen ihrer Codebasis verwenden würden, aber wenn ich sie einfach nur dazu bringen kann, Schwachstellen zu bestätigen und zeitnah zu beheben, ist das ein großer Schritt vorwärts.“

Tags :Quellen:ZDNet.comVia:Mit Material von Florian Kalenda, ZDnet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising