Categories: Sicherheit

IoT: Rapid7 meldet Sicherheitslücken in Spielzeug und GPS-Uhr

Die Sicherheitsfirma Rapid7 hat zwei Schwachstellen in vernetzten Geräten öffentlich gemacht, die inzwischen gepatcht wurden. Betroffen waren ein „Smart Toy“ von Fisher-Price und eine GPS-Uhr von HereO. Beide Produkte sind für Kinder ab drei Jahren bestimmt. Beide authentifizierten die Kommunikation mit dem Webservice nicht korrekt.

Im Fall des Fisher-Price Smart Toy, eines interaktiven Plüschtiers zum Preis von rund 100 Dollar, konnten Angreifer Informationen über das Kind einschließlich Namen und Geburtsdatum erhalten, Kontodaten ändern und löschen sowie Kontrolle über die im Spielzeug integrierten Funktionen gewinnen. Nicht nur, dass die Programmierschnittstelle sich für diesen Abruf missbrauchen ließ, das System erlaubte auch, massenhaft Daten von Fisher-Price-Kunden abzugreifen, da diese einfach durch eine fortlaufende Nummer identifiziert wurden.

Sicherheitsforscher Mark Stanislav schreibt in einem Blogbeitrag, ein Angreifer könne die Funktionen des Spielzeugs manipulieren und so im Rahmen der vorgesehenen Möglichkeiten Aktionen veranlassen, die das Kind nicht beabsichtigte.

Im Fall der GPS-Plattform von HereO konnten Angreifer aufgrund des Fehlers ein weiteres Nutzerkonto innerhalb einer Familie einrichten und von dort aus Aufenthaltsort sowie Profildetails jedes Familienmitglieds einsehen oder Nachrichten an sie senden. Dies umfasste auch frühere Aufenthaltsorte.

Beide Produkte scheinen nicht auf dem deutschen Markt erhältlich zu sein. HereO begrüßt Nutzer aus Deutschland aber mit einer Infoseite samt Vorbestellmöglichkeit zum Preis von 179 Dollar, was ein Abonnement des Ortungsdiensts für die ersten drei Monate einschließt. Die HereO-GPS-Uhr enthält eine SIM-Karte, die in über 120 Ländern automatisch eine Verbindung zu einem Netz herstellen kann.

In beiden Fällen wurden die Hersteller direkt von Rapid7 kontaktiert und behoben die Fehler innerhalb der gesetzten Frist von drei Monaten. Rapid7 interpretiert die gefundenen Lücken in der Authentisierung der Geräte als symptomatisch fürs Internet der Dinge. Im September letzten Jahres hatte es auf ein ähnliches Zugriffsrisiko bei einem Video-Babyfon hingewiesen.

Rapid7-Forscher Tod Beardsley erklärte ZDNet.com auf Nachfrage per E-Mail, es gebe keine Hinweise auf aktive Angriffe über die gefundenen Lücken. Er äußerte sich positiv über die Bereitschaft der Firmen, die Schwachstellen zu beheben. „Das scheint mir ein Schritt in die richtige Richtung zu sein.“

Ein Grund ist nach seiner Vermutung der Angriff auf den Lerncomputerhersteller VTech aus Hongkong vom vergangenen Herbst, bei dem Angreifer Daten von weltweit fast 6,4 Millionen Kindern erbeuteten, darunter eine halbe Million aus Deutschland. Es handelte sich unter anderem um 190 GByte Fotos, die überwiegend Gesichter von Eltern und Kindern zeigten. Viele von ihnen ließen sich eindeutig den Nutzerkonten zuordnen.

Dieser Fall habe einige Firmen empfänglicher für Fehlerberichte gemacht, sagt Beardsley. „Es wäre mir zwar lieber, wenn Firmen ihre knappen Ressourcen auf ein sicheres Design und Sicherheitsprüfungen ihrer Codebasis verwenden würden, aber wenn ich sie einfach nur dazu bringen kann, Schwachstellen zu bestätigen und zeitnah zu beheben, ist das ein großer Schritt vorwärts.“

ANZEIGE

Die elektronische Signatur auf dem Vormarsch – Wie Unternehmen Prozesse verschlanken und Geld sparen können

Täglich unterschreiben wir Empfangsbestätigungen von Paketen, Mietwagenverträge oder Kreditkartenzahlungen mit elektronischen Unterschriften. Im Geschäftsalltag fühlen sich jedoch insbesondere kleine und mittelständische Unternehmen häufig noch abgeschreckt, elektronische Signaturen einzusetzen. Sofern sie richtig in die passenden Geschäftsprozesse integriert werden, bieten sie aber einen großen Mehrwert und sind verbindlicher als eine Bestätigung per E-Mail.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

4 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

6 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

6 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

10 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

10 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

10 Stunden ago