17 Apr 2017

Kinderspielzeuge weisen ernsthafte Probleme für die Privatsphäre auf

Privatsphäre Sicherheit Tipps

Wenn man sich die weitreichenden Regelungen und Gesetze ansieht, die darauf ausgerichtet sind, die Privatsphäre von Kindern zu schützen, sollte man denken, dass die elektronischen Geräte und Spielzeuge für Kinder besonders sicher sind. Im Allgemeinen sehen wir die Privatsphäre von Kindern als unantastbar an, da Kinder besonders anfällig für Werbung, Vermarkter, Jäger und mehr sind.

Mit jedem neu aufgedeckten Datenleck wird es immer deutlicher, dass wir den Herstellern nicht vertrauen sollten, dass sie auf unsere Sicherheit oder die Sicherheit unserer Kinder Rücksicht nehmen. Analysieren wir ein paar Beispiele, um die hässlichen Überraschungen, die Smart Toys mit sich bringen können, zu verstehen.

Spionage

Im Dezember 2016 haben Datenschützer eine Beschwerde bei der US-amerikanischen Handelskommission gegen Genesis Toys eingereicht, dem Hersteller der Cayla Puppen und i-Que Spielzeugrobotern. Ein weiterer Angeklagter war Nuance Communications, das Unternehmen hinter der Spracherkennungstechnologie, die es ermöglicht, dass Spielzeuge mit Kindern sprechen.

Die Kläger waren von Anfang an deutlich: „Diese Beschwerde bezieht sich auf Spielzeuge, die spionieren.“

Schauen wir uns die Details der Anklage genauer an:

  • Die App, die die Cayla-Puppen nutzt um zu interagieren, benötigt eine Erlaubnis, um auf Dateien Zugriff zu erhalten, die auf einem Gerät gespeichert sind und die App von i-Que fragt nach Erlaubnis, um auf die Kamera des Geräts zugreifen zu können. Der Anbieter erklärt nicht, warum die Apps diese Erlaubnis brauchen. Außerdem ist die Erlaubnis für den Zugriff auf die Kamera auch auf der Webseite oder dem Demo-Video nicht angegeben.
  • Die Spielzeuge nutzen Bluetooth, um sich mit einem Smartphone oder einer Tablet zu verbinden. Das ist eine unsichere Verbindung, die keine Authentifizierung benötigt. Außerdem benachrichtigt das Spielzeug den Nutzer nicht, wenn es sich mit einem Gerät verbindet. Diese Unsicherheit kann es Eindringlingen nicht nur ermöglichen, zu lauschen, sondern auch mit dem Kind zu sprechen.
  • Das Spielzeug macht Werbung, indem es verschiedene Marken während der Konversation nennt.
  • Die App der Cayla Puppe veranlasst Kinder dazu, persönliche Identitätsinformationen zu nennen: die Namen der Eltern, den Wohnort, den Namen der Schule und mehr.
  • Beide Apps senden Aufnahmen der Konversationen an die Server von Nuance Communications, wo sie analysiert werden, um die Antworten zu verbessern. Die Aufnahmen werden auf den Servern gespeichert, um den Service zu verbessern.
  • Die Anbieter versagen vollkommen dabei, zu erklären, welche Art von Daten von den Kindern gesammelt werden.

Die Spionagefähigkeiten von Genesis Toys waren für deutsche Behörden ausreichend, um den Verkauf derselben vollkommen zu verbieten. Besitzer von unsicheren Spielzeugen wurden ausdrücklich darauf hingewiesen, diese los zu werden. Die deutsche Regierung identifiziert diese Spielzeuge als verdeckte Überwachungsgeräte, die vom Gesetz her verboten sind.

Im Dezember 2016 machte auch die Verbraucherschutzbehörde von Norwegen ihre Sorgen über das Thema der Privatsphäre in Zusammenhang mit den Cayla Puppen und der i-Que Roboter laut.

Die britische Toy Retailers Association hingegen sagte der BBC, dass Cayla „keine besonderen Risiken birgt.“

Unsicherheit

In einem weiteren Sicherheitsvorfall kommt die Bezeichnung „Leck“ wohl nicht im Geringsten an das heran, was die Größenordnung dieser Verletzung ausmacht. Es war ein katastrophaler Dammbruch, der eine Flut auslöste oder sogar eine Überschwemmung von persönlichen Daten, um die Metapher auszuweiten. Oder, um ganz genau zu sein, es hat von Anfang an garkeinen Damm gegeben.

Die CloudPets von Spiral Toys sind Plüschtiere, die Nachrichten zwischen Kindern und Eltern austauschen können. Das Spielzeug verbindet sich mit dem Smartphone der Eltern über eine Bluetooth-Verbindung und Eltern nutzen eine spezielle App, um sich mit dem Spielzeug zu verbinden.

Für Eltern mag es ein super Weg zu sein, so mit ihren Kindern in Kontakt bleiben zu können, aber die Inhalte, die von dem System gesammelt wurden, waren nicht ausreichend gesichert. Die Datenbank mit den Anmeldeinformationen der Nutzer war überhaupt nicht geschützt. Jeder konnte sich ohne Authentifizierung mit dem Server verbinden, die Daten einsehen oder die Datenbank kopieren und auf einem anderen Computer speichern.

Der Sicherheitsforscher Victor Gevers bemerkte den Vorfall und informierte den Anbieter am 31. Dezember 2016 darüber. Dann bekam Troy Hunt, ein anerkannter Sicherheitsexperte, von einer anonymen Quelle eine Datei, die mehr als eine halbe Million Aufnahmen von CloudPets-Nutzern enthielt. Neben dem Namen des Kindes beinhaltete jede Aufnahme ein Geburtsdatum und Informationen über Familienangehörige, zu dem das Kind durch das Spielzeug gesprochen hatte. Die Gesamtzahl der betroffenen Aufnahmen von CloudPets-Nutzern überstieg 800.000.

Ein Fremder, der das Passwort hat, kann alle Nachrichten herunterladen, die durch das Spielzeug gesendet wurden. Im Gegensatz zu den anderen Daten, wurden die Passwörter der Nutzer gehasht, um sie zu schützen. Hashen bietet etwas Schutz, dennoch können Brute-Force-Attacken immer noch Passwörter aufdecken, vor allem die einfachen.

Leider ist es auch gut möglich, bei den Konversationen ohne das Passwort mitzuhören. Es kam heraus, dass die Aufnahmen der Nachrichten und die Fotos in einer Amazon S3 Cloud gespeichert wurden. Ein Angreifer musste nur einen Link der beeinträchtigten Datenbank anklicken, um eine Audiodatei von dem Server zu bekommen. Die Anzahl der verfügbaren Aufnahmen überstieg 2.000.000.

Natürlich waren es nicht nur diejenigen mit den weißen Hüten, die etwas über die Unsicherheit gelernt hatten. Der Server mit den Daten der Kinder wurde zu einem Chaos mit gelöschten Datenbank-Kopien und Lösegeldforderungen. Die Datenbank wurde anschließend vom Server genommen, obgleich es da Draußen noch Kopien gibt.

Spiral Toys reagierte nicht auf diejenigen Leute, die versuchten, sie auf das Problem aufmerksam zu machen, wozu auch Gevers, Hunt, Hunts Informant und der Reporter Lorenzo Franceschi-Bicchierai gehörten. Dann im März 2017 forderte der US-Senat Spiral Toys dazu auf, mit den Datenlecks und ihrer Datenschutzpolitik aufzuräumen. Troy Hunt veröffentlichte den Text dieser Anfrage.

Schlussendlich antwortete Spiral Toys dem Generalstaatsanwalt von Kalifornien. DataBreaches.net veröffentlichte die Antwort. Das Unternehmen gab an, am 22. Februar durch Franceschi-Bicchierai, der davon durch eine anonyme Quelle erfuhr, auf den Vorfall aufmerksam gemacht worden zu sein. Obwohl verschiedene Sicherheitsforscher versucht hatten, vor dem 22. Februar mit dem Unternehmen in Kontakt zu treten, sagte Spiral Toys, dass sie diese Nachrichten niemals bekommen hatten und den Fall untersuchen würden.

Das Leck war laut Spiral Toys Bestandteil einer massiven Attacke auf MongoDB Installationen im ganzen Internet. Sprachnachrichten und Bilder waren nicht betroffen, sagte das Unternehmen, weil diese auf einem anderen Server gespeichert waren. Die beeinträchtigte Datenbank war nicht die Haupt-Datenbank, sagten sie, sondern eine temporäre Datenbank, die von Entwicklern genutzt wurde.

Spiral Toys hat auch einen FAQ für Nutzer veröffentlicht, der die oben genannte Information enthält und auf die neuen, stärkeren Passwortanforderungen des Unternehmens hinweist.

Offene Datenbanken

Andere prominente Lecks schließen die Datenbank der offiziellen Webseite des Unternehmens hinter den Hello Kitty Spielzeugen (3.300.000 beeinträchtigte Aufnahmen von Nutzern) und die Datenbank von VTech´s Online-Shop (5.500.000 Aufnahmen von Nutzern und ein großer Anteil von Fotos von Kindern waren betroffen) ein. Beide Vorkommnisse geschahen im Jahr 2015.

Der Service von CLoudPets und die Entwickler der Webseite von Hello Kitty nutzten Verwaltungssysteme der MongoDB Datenbanken, die Schlagzeilen machten, nachdem Hacker Zehntausende von Datenbanken angriffen (oder eher die vollkommene Kontrolle über diese übernahmen).

Besitzer von entführten Datenbanken mögen Opfer sein, aber sie sind nicht unschuldig. Bei dem Versagen Autorisierungen zu verlangen, ließ MongoDB die Türen der Datenbanken weit geöffnet und durch die Nutzung von offenen Datenbanken zeigten die Hersteller, dass sie darauf keine Acht geben.

Natürlich ist MongoDB nicht das ganze Problem. An der allgemeinen Sicherheitslage muss gearbeitet werden. Alle Bemühungen der Behörden, Datenschützer und Sicherheitsexperten können die Geschwindigkeit der technischen Entwicklungen und die Gesamtentwicklung der Entwertung von Nutzerdaten nicht bewältigen.

Übrigens, nach dem Angriff auf MongoDB unternahmen Hacker massive Attacken auf Verwaltungssysteme von Datenbanken. Jede ungeschützte Datenbank <em>wird</em> damit enden, öffentlich online zugänglich zu sein und der Durchschnittsnutzer wird nicht in der Lage sein, etwas dagegen zu tun. Es ist ein schwacher Trost, dass dieses Datenbankenleck nur temporär war und es sich lediglich um eine Hilfsdatenbank gehandelt hat, wenn die Daten echt waren. Ein angegriffenes System herunterzufahren macht persönliche Daten nicht wieder privat.

Tipps für Eltern

Seien Sie vorsichtig damit, ihrem Kind ein elektronisches intelligentes Spielzeug zu geben und beachten Sie die folgenden roten Flaggen:

  • Wenn das Spielzeug Daten an das Internet sendet. Viele Spielzeuge tun dies und der Trend geht dahin, dass sogar herkömmliche Stofftiere dies tun.
  • Wenn Sie die Tätigkeiten des Spielzeugs nicht kontrollieren können.
    Zumindest die Cayla Puppen haben einen blinkenden Anzeiger, der angibt, ob das Mikrofon eingeschaltet ist. Mit mobilen Apps wissen Sie manchmal nicht einmal, wann sie eingeschaltet sind. Kaspersky Lab hat herausgefunden, dass 96% der Apps im Hintergrundmodus starten, auch wenn ein Nutzer sie gar nicht einschaltet.
  • Wenn ein Spielzeug ein Mikrofon und eine Kamera hat. Es handelt sich nicht bloß um fortgeschrittene Teddybären und Roboter, diese Kategorie beinhaltet Apps mit wichtigen Zugangserlaubnissen.
  • Wenn das Spielzeug persönliche Informationen des Kindes erhalten will.
  • Wenn die Einstellungen zu simple sind. Zum Beispiel erfordert eine Bluetooth-Verbindung keine Authentifizierung.

Wenigstens einer dieser Punkte sollte ausreichen, um zu überlegen, ob ein Gleichgewicht zwischen dem Spaß mit den verbundenen Spielzeugen und der Privatsphäre Ihrer Kinder besteht.