Roboter und USB-Vibrator: Lücken und Enten in Kinder- und Erwachsenenspielzeug

Während reale Bugs in einem Spielzeugroboter Angreifer ins Kinderzimmer katapultieren, erweist sich ein Malware-Vibrator als Rohrkrepierer.

In Pocket speichern vorlesen Druckansicht 9 Kommentare lesen

(Bild: Besjunior/Shutterstock.com)

Lesezeit: 3 Min.

Vernetzte Kinderspielzeuge bergen häufig Sicherheitsrisiken, die tiefe Einschnitte in die kindliche Privatsphäre mit sich bringen können. Wie weitreichend diese Risiken sein können, erweist eine detaillierte Analyse eines namenlosen Spielroboters, der mit Mikrofon, Kamera und WLAN-Zugriff alles Rüstzeug zum Überwachungswerkzeug mitbringt.

Das elektronische Spielgerät auf Basis von Android enthielt gleich mehrere schwere Sicherheitslücken, wie die Analyse des Kaspersky-Teams für Industriesysteme ergab. Los ging's direkt bei der Inbetriebnahme des Roboters: Konfigurationsparameter wurden unverschlüsselt übertragen und die wichtigsten "geheimen" Parameter waren durch Angreifer leicht zu erraten. Zudem übergab der Konfigurationsserver dem Roboter Zugriffsschlüssel für verschiedene externe APIs, die ebenfalls von einem Angreifer mit Netzwerkzugriff ausgespäht werden können. Auch die personenbezogenen Daten der Eltern gingen im Klartext über die Leitung.

Gruselig wurde es bei der Protokollanalyse der Video-Anrufe, die der Hersteller des Roboters mittels eines Cloud-Dienstes implementiert hatte: Durch fehlerhafte Überprüfung der Autorisierung konnten Angreifer beliebige Roboter anrufen; die Anrufe wurden auf dem Bildschirm des Geräts als "Elternteil ruft an" vermerkt. So hätten böswillige Dritte Kinder direkt in ihrem Zimmer belästigen können.

Über eine ähnliche API-Funktion war zudem eine komplette Übernahme eines Roboters möglich, indem sich ein Angreifer als Elternteil ausgab und die wirklichen Eltern aus dem Gerät aussperrte. Zwar musste dieser dazu eine One-Time-Password-Abfrage (OTP) überlisten, hatte dafür jedoch unendlich viele Versuche. Einen zusätzlichen OTP-Code, der zum erneuten Verbinden mit der Eltern-App notwendig war, konnte sich der Roboter-Hijacker praktischerweise auch per API abholen.

Trotz der haarsträubenden Sicherheitslücken in dem Spielzeugroboter ziehen die Analysten von Kaspersky ein positives Fazit: Nach Kontaktaufnahme im März vergangenen Jahres habe der Hersteller die Sicherheitslücken innerhalb weniger Monate behoben und volle Verantwortung dafür übernommen. Eltern sollten jedoch sehr sorgfältig abwägen, welche "smarten" Spielzeuge den Weg in die Refugien ihrer Sprösslinge finden solle, so die Experten.

Vernetzte Spielzeuge mit absichtlicher oder versehentlicher Spionagefunktion sind kein neues Phänomen: Bereits vor Jahren ergriff die Bundesnetzagentur Maßnahmen gegen allzu neugierige Spielzeug.

Nicht beschaltet: Die Datenpins des "Malware-Vibrators" können keine Daten übertragen.

(Bild: Sam Cole / 404 Media)

Liebhaber:innen preisgünstiger Erwachsenenspielzeuge können jedoch aufatmen: Der Verdacht, ein chinesischer Hersteller verstecke Malware in Vibratoren mit USB-Anschluss, erwies sich als Ente. Nachdem bereits elektrische Zahnbürsten unter Botnet-Verdacht geraten waren, ging nun von einem alarmistischen Reddit-Posting (das mittlerweile gelöscht ist) der Verdacht aus, auf einem Vibrator der Marke "Spencer's Sexology" verberge sich ein Infostealer der Lumma-Familie. Nachdem verschiedene Medien über die Risiken ungeschützten USB-Verkehrs berichtet hatten, entpuppte sich das Ganze jedoch als Ente: Die Geräte können ihren USB-Anschluss nur zum Laden nutzen, da die Daten-Pins nicht beschaltet sind. Das bestätigte zwischenzeitlich auch der Hersteller.

Ob es sich bei dem "Malware-Vibrator" also um einen Marketing-Gag oder einen Reddit-Scherz handelt, bleibt weiter ungeklärt. Sehr weit hergeholt ist der Verdacht zudem nicht: Auch vernetzte Sexspielzeuge kämpfen seit Jahren mit Sicherheitsproblemen.

(cku)