IoT: Rapid7 meldet Sicherheitslücken in Spielzeug und GPS-Uhr

Die Sicherheitsfirma Rapid7 hat zwei Schwachstellen in vernetzten Geräten öffentlich gemacht, die inzwischen gepatcht wurden. Betroffen waren ein „Smart Toy“ von Fisher-Price und eine GPS-Uhr von HereO. Beide Produkte sind für Kinder ab drei Jahren bestimmt. Beide authentifizierten die Kommunikation mit dem Webservice nicht korrekt.

Im Fall des Fisher-Price Smart Toy, eines interaktiven Plüschtiers zum Preis von rund 100 Dollar, konnten Angreifer Informationen über das Kind einschließlich Namen und Geburtsdatum erhalten, Kontodaten ändern und löschen sowie Kontrolle über die im Spielzeug integrierten Funktionen gewinnen. Nicht nur, dass die Programmierschnittstelle sich für diesen Abruf missbrauchen ließ, das System erlaubte auch, massenhaft Daten von Fisher-Price-Kunden abzugreifen, da diese einfach durch eine fortlaufende Nummer identifiziert wurden.

Sicherheitsforscher Mark Stanislav schreibt in einem Blogbeitrag, ein Angreifer könne die Funktionen des Spielzeugs manipulieren und so im Rahmen der vorgesehenen Möglichkeiten Aktionen veranlassen, die das Kind nicht beabsichtigte.

Im Fall der GPS-Plattform von HereO konnten Angreifer aufgrund des Fehlers ein weiteres Nutzerkonto innerhalb einer Familie einrichten und von dort aus Aufenthaltsort sowie Profildetails jedes Familienmitglieds einsehen oder Nachrichten an sie senden. Dies umfasste auch frühere Aufenthaltsorte.

Beide Produkte scheinen nicht auf dem deutschen Markt erhältlich zu sein. HereO begrüßt Nutzer aus Deutschland aber mit einer Infoseite samt Vorbestellmöglichkeit zum Preis von 179 Dollar, was ein Abonnement des Ortungsdiensts für die ersten drei Monate einschließt. Die HereO-GPS-Uhr enthält eine SIM-Karte, die in über 120 Ländern automatisch eine Verbindung zu einem Netz herstellen kann.

In beiden Fällen wurden die Hersteller direkt von Rapid7 kontaktiert und behoben die Fehler innerhalb der gesetzten Frist von drei Monaten. Rapid7 interpretiert die gefundenen Lücken in der Authentisierung der Geräte als symptomatisch fürs Internet der Dinge. Im September letzten Jahres hatte es auf ein ähnliches Zugriffsrisiko bei einem Video-Babyfon hingewiesen.

Rapid7-Forscher Tod Beardsley erklärte ZDNet.com auf Nachfrage per E-Mail, es gebe keine Hinweise auf aktive Angriffe über die gefundenen Lücken. Er äußerte sich positiv über die Bereitschaft der Firmen, die Schwachstellen zu beheben. „Das scheint mir ein Schritt in die richtige Richtung zu sein.“

Ein Grund ist nach seiner Vermutung der Angriff auf den Lerncomputerhersteller VTech aus Hongkong vom vergangenen Herbst, bei dem Angreifer Daten von weltweit fast 6,4 Millionen Kindern erbeuteten, darunter eine halbe Million aus Deutschland. Es handelte sich unter anderem um 190 GByte Fotos, die überwiegend Gesichter von Eltern und Kindern zeigten. Viele von ihnen ließen sich eindeutig den Nutzerkonten zuordnen.

Dieser Fall habe einige Firmen empfänglicher für Fehlerberichte gemacht, sagt Beardsley. „Es wäre mir zwar lieber, wenn Firmen ihre knappen Ressourcen auf ein sicheres Design und Sicherheitsprüfungen ihrer Codebasis verwenden würden, aber wenn ich sie einfach nur dazu bringen kann, Schwachstellen zu bestätigen und zeitnah zu beheben, ist das ein großer Schritt vorwärts.“

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de