My Friend Cayla, Hello Barbie & Co.

Kinderspiel(zeug) für Hacker

28.03.2017
Von Ryan Francis und


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Die aktuellen Entwicklungen könnten nostalgische Sehnsucht nach "dummem" Spielzeug verursachen. Denn aktuell gilt das Motto: Je schlauer und vernetzter, desto angreifbarer.

Ein weiterer Fall von gehacktem Kinderspielzeug sorgt für Aufregung: Diesmal handelt es sich dabei um einen smarten Teddy, der Sprachnachrichten senden und empfangen kann. Beim Hersteller Spiral Toys kam es zu einem Sicherheitsvorfall in Zusammenhang mit rund 800.000 User-Accounts. Das Unternehmen sagt, keiner seiner Kunden sei gehackt worden.

Wenn der Hacker im Spielzeug steckt...
Wenn der Hacker im Spielzeug steckt...
Foto: Graphic design - chuckchee - shutterstock.com

Das dürfte noch lange nicht die Spitze des Eisbergs darstellen - insbesondere, wenn Hersteller und Nutzer smarter und vernetzter Spielzeuge (nicht nur für Kinder) sich weiterhin nicht um entsprechende IT-Sicherheitsmaßnahmen bemühen. Gemeinsam mit Zach Lanier, Director of Research beim Sicherheitsanbieter Cylance, lassen wir einige schlagzeilenträchtige Spielzeug-Hacks der letzten Zeit Revue passieren - und geben Tipps für mehr SecuritySecurity. Alles zu Security auf CIO.de

CloudPets Smart Teddy

Auch wenn Spiral Toys bislang davon ausgeht, dass keinerlei User-Daten gestohlen wurden. Es ist nicht unwahrscheinlich, dass die Angreifer Zugriff auf die Sprachnachrichten der Kunden hatten. Schließlich waren die Kundendaten jederzeit online zugänglich, weil sie in einer ungesicherten NoSQL-Datenbank gespeichert waren. Authentifizierung? Fehlanzeige. Nicht nur kriminelle Hacker hätten die Daten also jederzeit einsehen und/oder stehlen können. Noch dazu waren die Teddybären die unter dem Label "CloudPets" verkauft werden, in punkto Passwortsicherheit schlecht ausgestattet: Es gab keine Vorgaben zu Länge oder Stärke der Kennwörter - ein Brute-Force-Paradies.

Tipp: Achten Sie darauf, stets ein sicheres Passwort zu benutzen - egal ob es Vorgaben dazu gibt oder nicht. Es gelten die bekannten Grundregeln: Beziehen Sie Groß- und Kleinschreibung mit ein, nutzen Sie Buchstaben, Zahlen und Sonderzeichen. Greifen Sie auf einen Passwort-Manager zurück, um nicht den Fehler zu begehen, das selbe Passwort für alle Accounts zu benutzen.

Fisher-Price Smart Toy

Die App-gesteuerten Plüschtiere aus dem Hause Fisher-Price gerieten ins Visier von Sicherheitsforschern, weil die zugehörige mobile Applikation einige API-Schwachstellen aufwies. So konnte der Sender von Nachrichten nicht mehr verifiziert werden. Folgen? Hacker hätten auf diesem Weg Usernamen oder E-Mail-Adressen herausfinden können, über die man wiederum an die Daten der damit verknüpften Accounts kommt. Fisher-Price speichert hier beispielsweise Informationen wie Namen, Geburtsdaten, Geschlecht und Sprache der Kinder, die die Kuscheltiere benutzen.

Tipp: Wenn sich ein IoT-Device mit einer mobilen App oder einem Desktop-Rechner verbinden muss, ist es wichtig zu wissen, wie das vor sich geht. Wenn hierbei keine https-Verbindung genutzt wird, ist die Verbindung - und damit auch die Daten - nicht abgesichert.

My Friend Cayla

Die Puppe Cayla wurde in Deutschland inzwischen von der Bundesnetzagentur verboten und stellt entsprechend den hierzulande bekanntesten Fall von gehacktem Kinderspielzeug dar. Die Puppe besitzt ein integriertes Mikrofon, das mit dem Internet verbunden ist, um Fragen der Kinder beantworten zu können. Die Sprachdaten sind allerdings für Hacker jederzeit abgreifbar, das Mikrofon lässt sich für Lauschangriffe nutzen und Kriminelle können jederzeit auf persönliche Daten zugreifen.

Tipp: Wenn das Spielzeug eine WLAN-Verbindung benötigt, sollten Sie darauf achten, dass angemessene Standards zum Einsatz kommen wie WPA2. Außerdem sollten Sie sich Gewissheit darüber verschaffen, welche Daten das Kinderspielzeug eigentlich sammelt.

i-Que Intelligent Robot

Auch mit Hilfe dieses Spielzeug-Roboters könnten Hacker Kinder und ihre Familien belauschen. Der Hersteller der Spracherkennungssoftware - Nuance Communications - wertet die so entstandenen Nutzerdaten aus und speichert diese.

Tipp: Bevor Sie Ihrem Kind eines der tollen, neuen IoT-Spielzeuge schenken, sollten Sie sich darüber informieren, wie es der Hersteller mit dem Datenschutz hält. Wenn Informationen verfügbar sind, lesen Sie sie - es ist gut zu wissen, wie ihre Daten genutzt werden. Stellen Sie keine unnötigen persönlichen Daten zur Verfügung.

Hackerangriff auf VTech

Das in HongKong angesiedelte Spielzeug-Unternehmen VTech musste Ende 2015 einen Hackerangriff auf seine App-Store-Datenbank ("LearningLodge") eingestehen. Dabei wurden 11,6 Millionen User-Konten kompromittiert und Fotos sowie Sprachaufnahmen von Kindern und Eltern gestohlen. Darüber hinaus wurden auch persönliche Informationen wie Name, Geschlecht und Geburtsdaten entwendet.

Tipp: Überprüfen Sie, ob der Spielzeug-Hersteller zuvor im Zusammenhang mit Hacks auffällig geworden ist. Wenn ja, sollten Sie sich insbesondere ansehen, wie das Unternehmen darauf reagiert hat. Wenn es sich um einen relativ neuen Hersteller handelt, besteht definitiv ein höheres Sicherheitsrisiko. Besuchen Sie auch die Webseite des Herstellers - eventuell finden sich hier Informationen darüber, wie ernst man bei dem Unternehmen die Sicherheit der Kunden nimmt. Gibt es eventuell sogar eine Meldeplattform für Sicherheitsvorfälle?

Hello Barbie

Auch die interaktive Version der berühmtesten Puppe der Welt sorgte für Kritik. Das Kinderspielzeug besitzt die Fähigkeit zu kommunizieren und kann Gespräche aufzeichnen. Diese Gespräche zwischen Kind und Puppe werden an die Server von Hersteller Mattel gesendet, analysiert und in der Cloud gespeichert. Dieses Vorgehen sorgte für Big-Brother-Vorwürfe. Die Wifi-Verbindung über die diese Daten laufen, könnte darüber hinaus auch von Hackern gekapert werden, die die Daten ebenfalls für ihre Zwecke auswerten.

Tipp: Verlassen Sie sich nicht auf große Markennamen. Recherchieren Sie vor dem Kauf im Netz. Nutzen Sie den WPA2-Standard bei Wifi-Verbindungen - WEP und WPA halten inzwischen kaum einem Hackerangriff mehr stand.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation csoonline.com.

Zur Startseite