Categories: Sicherheit

IoT: Rapid7 meldet Sicherheitslücken in Spielzeug und GPS-Uhr

Die Sicherheitsfirma Rapid7 hat zwei Schwachstellen in vernetzten Geräten öffentlich gemacht, die inzwischen gepatcht wurden. Betroffen waren ein „Smart Toy“ von Fisher-Price und eine GPS-Uhr von HereO. Beide Produkte sind für Kinder ab drei Jahren bestimmt. Beide authentifizierten die Kommunikation mit dem Webservice nicht korrekt.

Im Fall des Fisher-Price Smart Toy, eines interaktiven Plüschtiers zum Preis von rund 100 Dollar, konnten Angreifer Informationen über das Kind einschließlich Namen und Geburtsdatum erhalten, Kontodaten ändern und löschen sowie Kontrolle über die im Spielzeug integrierten Funktionen gewinnen. Nicht nur, dass die Programmierschnittstelle sich für diesen Abruf missbrauchen ließ, das System erlaubte auch, massenhaft Daten von Fisher-Price-Kunden abzugreifen, da diese einfach durch eine fortlaufende Nummer identifiziert wurden.

Sicherheitsforscher Mark Stanislav schreibt in einem Blogbeitrag, ein Angreifer könne die Funktionen des Spielzeugs manipulieren und so im Rahmen der vorgesehenen Möglichkeiten Aktionen veranlassen, die das Kind nicht beabsichtigte.

Im Fall der GPS-Plattform von HereO konnten Angreifer aufgrund des Fehlers ein weiteres Nutzerkonto innerhalb einer Familie einrichten und von dort aus Aufenthaltsort sowie Profildetails jedes Familienmitglieds einsehen oder Nachrichten an sie senden. Dies umfasste auch frühere Aufenthaltsorte.

Beide Produkte scheinen nicht auf dem deutschen Markt erhältlich zu sein. HereO begrüßt Nutzer aus Deutschland aber mit einer Infoseite samt Vorbestellmöglichkeit zum Preis von 179 Dollar, was ein Abonnement des Ortungsdiensts für die ersten drei Monate einschließt. Die HereO-GPS-Uhr enthält eine SIM-Karte, die in über 120 Ländern automatisch eine Verbindung zu einem Netz herstellen kann.

In beiden Fällen wurden die Hersteller direkt von Rapid7 kontaktiert und behoben die Fehler innerhalb der gesetzten Frist von drei Monaten. Rapid7 interpretiert die gefundenen Lücken in der Authentisierung der Geräte als symptomatisch fürs Internet der Dinge. Im September letzten Jahres hatte es auf ein ähnliches Zugriffsrisiko bei einem Video-Babyfon hingewiesen.

Rapid7-Forscher Tod Beardsley erklärte ZDNet.com auf Nachfrage per E-Mail, es gebe keine Hinweise auf aktive Angriffe über die gefundenen Lücken. Er äußerte sich positiv über die Bereitschaft der Firmen, die Schwachstellen zu beheben. „Das scheint mir ein Schritt in die richtige Richtung zu sein.“

Ein Grund ist nach seiner Vermutung der Angriff auf den Lerncomputerhersteller VTech aus Hongkong vom vergangenen Herbst, bei dem Angreifer Daten von weltweit fast 6,4 Millionen Kindern erbeuteten, darunter eine halbe Million aus Deutschland. Es handelte sich unter anderem um 190 GByte Fotos, die überwiegend Gesichter von Eltern und Kindern zeigten. Viele von ihnen ließen sich eindeutig den Nutzerkonten zuordnen.

Dieser Fall habe einige Firmen empfänglicher für Fehlerberichte gemacht, sagt Beardsley. „Es wäre mir zwar lieber, wenn Firmen ihre knappen Ressourcen auf ein sicheres Design und Sicherheitsprüfungen ihrer Codebasis verwenden würden, aber wenn ich sie einfach nur dazu bringen kann, Schwachstellen zu bestätigen und zeitnah zu beheben, ist das ein großer Schritt vorwärts.“

ANZEIGE

Die elektronische Signatur auf dem Vormarsch – Wie Unternehmen Prozesse verschlanken und Geld sparen können

Täglich unterschreiben wir Empfangsbestätigungen von Paketen, Mietwagenverträge oder Kreditkartenzahlungen mit elektronischen Unterschriften. Im Geschäftsalltag fühlen sich jedoch insbesondere kleine und mittelständische Unternehmen häufig noch abgeschreckt, elektronische Signaturen einzusetzen. Sofern sie richtig in die passenden Geschäftsprozesse integriert werden, bieten sie aber einen großen Mehrwert und sind verbindlicher als eine Bestätigung per E-Mail.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

6 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

7 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

7 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

7 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

10 Stunden ago