Sicherheitslücke in Fisher-Price Teddybären

Fisher-Price verkauft eine Serie an Spielzeug mit smarten Funktionen und Netzwerkanbindung. Die Bären, Affen und Pandabären erkennen etwa automatisch, wenn sie bewegt werden, oder wie spät es gerade ist. Außerdem lernen sie einige persönliche Daten über ihre jungen Besitzer, wie Alter und Geburtsdatum. Genau diese Daten können nun durch eine Sicherheitslücke von Unbefugten ausgelesen werden, wie Sicherheitsforscher Mark Stanislav von Rapid7 aufgedeckt hat. Die so gewonnenen Informationen könnten etwa für eine Phishing-Attacke auf die Eltern genutzt werden.

Über das Einfallstor hätten Angreifer laut Stanislav auch Befehle an das Spielzeug senden bzw. es kontrollieren können. Möglich wurde der Angriff über die API von Fisher-Price, die es erlaubt, Familienmitglieder zu einer Gruppe einzuladen, um ihnen Zugriff auf die Funktionen des Spielzeugs zu geben. Die Lücke wurde Fisher-Price gemeldet und geschlossen, bevor nun der entsprechende Bericht veröffentlicht wurde.

Vernetztes Spielzeug als Gefahr

Smarte Spielzeuge sind derzeit noch nicht sehr weit verbreitet, der Vorfall zeigt aber auf, dass sie in Zukunft ein Ziel von Angreifer sein könnten, um persönliche Daten zu stehlen. Im konkreten Fall gibt es keine Hinweise darauf, dass Daten tatsächlich entwendet wurden. In Österreich oder Deutschland wird das betroffene Spielzeug nicht verkauft.

Auch andere Produkte für Kinder standen bereits aufgrund mangelnder Datensicherheit in Kritik. Ende 2015 kam es zu einem Hack der Spielzeugfirma VTech, wo 200.000 Adressen abgegriffen wurden. Rapid7 warnte außerdem ebenfalls bereits vor einer Sicherheitslücke in Babyphones.