Vernetztes Spielzeug: Wenn Einhörner Kinder abhören
Ein Einhorn-Plüschtier, das mit der Stimme der Mutter mit dem Kind spricht. Eine Baby-Überwachungskamera, die per WLAN Bilder aus dem Kinderzimmer streamt. Eine GPS-Smartwatch für Kinder, um jederzeit zu wissen, wo sich diese gerade aufhalten. All diesen Dingen gemein ist: Sie sind mit dem Internet verbunden und bei ihnen wurden von Forschern schwerwiegende Sicherheitslücken festgestellt. Mit diesen lassen sich Kinder entweder von Fremden manipulieren und sie etwa durch falsche Botschaften an die Haustür locken, oder aber das Kinderzimmer wird zwecks Einbruchsmöglichkeiten aus der Ferne ausspioniert.
© Einhornfotograf
Gefährliche Plüschtiere
Das Einhorn-Spielzeug „CloudPets“ der Firma Spiral Toy ist etwa eines der unsichersten vernetzten Spielzeuge, die derzeit am Markt und in Österreich erhältlich sind. Mit dem Plüschtier, das es auch in der Variante Hund oder Katze gibt, lassen sich von Eltern über eine App Nachrichten aufnehmen, die Kinder abrufen können, wenn sie auf die Pfote rechts drücken. Mit der Pfote links können Kinder via Plüschtier dank eines eingebauten Mikrofons selbst Nachrichten aufnehmen und senden.
Diese Funktionen klingen gut und stoßen bei vielen Kindern auf ein großes „Will-Haben“-Gefühl. In der Praxis ist es Sicherheitsforschern aber gelungen, das Spielzeug so zu manipulieren, dass Fremde aus der Ferne Nachrichten aufnehmen und senden können. Die Bluetooth-Verbindung des Einhorns ist nämlich nicht gesichert und somit kann sich jeder mit dem Einhorn verbinden. Die Details zu dem Angriff sind seit längerem bekannt und es gibt entsprechende Anleitungen dazu im Netz. Bei der Fremd-Übernahme reicht es, im Chrome-Browser eine bestimmte Seite zu besuchen.
Der Hersteller Spiral Toy hat bisher nicht auf das Problem reagiert – und das, obwohl der Firma bereits vor knapp einem Jahr 2,2 Millionen aufgenommene CloudPets-Sprachnachrichten von rund 820.000 registrierten Anwender abhanden gekommen und im Internet verfügbar waren. Die betroffenen Nutzer wurden damals nicht von Spiral Toy informiert, obwohl es sich dabei um private Nachrichten zwischen Kindern und Eltern gehandelt hatte.
Auch die App des Kinderspielzeugs eignet sich nur bedingt zur Empfehlung: Wer die kostenlose Version nutzen möchte, bekommt Werbung eingeblendet – und zwar auch auf der Benutzeroberfläche, die eigentlich für Kinder gedacht ist. Im futurezone-Test tauchten da schon mal Links zu Aktienkäufen oder anderen Artikeln für Erwachsene auf.
Verbote
Dieses Horror-Beispiel steht symptomatisch für die Probleme, die mit dem Internet verbundenes Spielzeug mit sich bringen kann. In den letzten Jahren nahm die Zahl des Spielzeugs, das mit Mikrofon ausgestattet und mit Apps verbunden ist, immer mehr zu. Von Plüschtieren und Puppen, programmierbaren Robotern und ferngesteuerten Fahrzeugen mit Kameras reicht die Produktpalette. Das Österreichische Institut für Telekommunikation (ÖIAT) warnt, dass viele dieser Produkte „Risiken für die Privatsphäre der Kinder“ bergen. Auch die deutschen Konsumentenschützer „ Stiftung Warentest“ haben ein vernichtendes Urteil über smartes Spielzeug gefällt. Dieses erlaube die Überwachung der Kinder auch durch Fremde.
Ein untersuchter Roboter erlaubt es Fremden, zum Beispiel aus der Nachbarwohnung, dem Kind Fragen zu stellen und Anweisungen zu geben. Auch die Antworten des Kindes können abgehört werden. Ein Teddy kann Sprachnachrichten von den Eltern, aber auch von Fremden empfangen. Ein Roboterhund lässt sich auch von Unbefugten fernsteuern.
Puppe als Abhöranlage
In Deutschland wurde die Puppe „Cayla“, die auch in Österreich erhältlich ist, als „verbotene Abhöranlage“ eingestuft und vom Markt genommen. Eltern müssen diese sogar zerstören, wenn sie eine für ihr Kind gekauft haben. Doch das Ganze gilt nicht nur für Spielzeug, sondern auch für Kinderarmbanduhren. Derartige Kinder-Smartwatches gibt es inzwischen fast standardmäßig mit GPS-Ortung, eingebauter Kamera und SIM-Karte.
Smarte Uhren
Die Uhren funktionieren ähnlich wie ein Handy. In Deutschland dürfen sie mit Abhörfunktion aber genauso wie die Puppe Cayla nicht mehr verkauft werden. Für Österreich gilt dies zwar nicht, doch auch hier sollte man sich nicht nur der Vorteile, sondern auch der Risiken bewusst sein. Norwegische Verbraucherschützer und das AV-Test-Institut in Deutschland haben diverse Modelle getestet und festgestellt, dass Uhren mit eingebautem Tracker, die den Aufenthaltsort des Kindes kontrollieren sollen, wegen diverser Sicherheitslücken oft ein falsches Sicherheitsgefühl vermitteln.
Besonders die Kommunikation mit den Notfallnummern, die in den Uhren hinterlegt werden können, ist angreifbar. SMS oder Anrufe, die dem Kind als „von Vater oder Mutter stammend“ angezeigt werden, können auch von Dritten, also Fremden kommen. Die Anruferidentität kann jeder im Netz dank frei verfügbarer Apps und Dienste fälschen.
Bei dem AV-Test wurden außerdem Datenschutz-und Datensicherheitsbedenken geäußert: Apps einiger Uhren speichern zurückgelegte Strecken sowie die Bewegungsgeschwindigkeit, Kalorienverbrauch und Schlafrhythmus des Kindes. Bei jedem zweiten Uhren-Modell kam heraus, dass die Daten zwischen der Kinderuhr, dem Anbieter-Server und der Eltern-App abfang- und manipulierbar sind.
Das in Österreich von A1 vermarktete Modell wurde im Test als „befriedigend“ eingestuft. Es weist keine dezidierten Sicherheitslücken auf.