Erneute Kritik an "Hello Barbie": App mit Schwachstellen

Sicherheitsforscher können nicht aufhören, mit der interaktiven Barbie-Puppe zu spielen. Dieses Mal sind sie auf Schwachstellen in der App und im Server, der die Sprachdaten verarbeitet, gestoßen.

In Pocket speichern vorlesen Druckansicht 50 Kommentare lesen
Erneute Kritik an "Hello Barbie": App mit Schwachstellen

(Bild: Mattel)

Lesezeit: 2 Min.
Inhaltsverzeichnis

Das auf die Sicherheit von Apps spezialisierte Unternehmen Bluebox Labs hat in Zusammenarbeit mit dem Sicherheitsforscher Andrew Hay (OpenDNS) das interaktive Spielzeug "Hello Barbie" untersucht. Dabei fanden sie Schwachstellen in der App der via WLAN nach Hause telefonierenden Puppe und in der Server-Konfiguration des Partners von Mattel ToyTalk.

"Hello Barbie" hat ein Mikrofon im Nacken verbaut und schickt Gespräche via WLAN zur Analyse in die Cloud. Anschließend antwortet die Puppe mit einem aus rund 8000 Dialogsätzen.

Die Anmeldeinformationen der App für Android- und iOS-Geräte für die Verbindung mit den Servern sollen Angreifer vergleichsweise einfach auslesen können. Zudem sollen Angreifer in der Lage sein, ein ungesichertes WLAN aufzusetzen, mit dem sich die interaktive Puppe automatisch verbindet. Dafür muss lediglich der Begriff Barbie im Namen (SSID) des WLANs auftauchen, schildern die Sicherheitsforscher. Zudem finde sich in der App viel Code, der nicht genutzt wird, den Angreifer aber als Einfallstor für einen Übergriff nutzen könnten.

Mit den extrahierten Anmeldeinformationen könne man die Server, die die Gespräche mit Hello Barbie verarbeiten, auch außerhalb der App ansprechen. Zudem waren die Server zum Zeitpunkt der Untersuchung von Bluebox Labs für den Poodle-Angriff anfällig. Das hat ToyTalk den Sicherheitsforschern zufolge aber schon gefixt.

Bluebox Labs hebt in der Sicherheitswarnung hervor, dass ToyTalk vorbildlich reagiert hat und schon einige Schwachstelle abgedichtet hat.

Vergangene Woche sagte der Sicherheitsforscher Matt Jakubowski gegenüber NBC, dass er auf Account-IDs, Audiodateien, das Mikrofon und Netzwerknamen zugreifen konnte. Zudem versicherte er, dass man die Puppe mit etwas Aufwand auch mit einem anderen Server verbinden und dann steuern kann, was die Barbie sagt.

"Hello Barbie" hat dieses Jahr bereits den "Big Brother Award" von den Datenschützern von Digitalcourage erhalten. Die Puppe soll pünktlich zum Weihnachtsgeschäft in den USA zum Verkauf bereitstehen. (des)