Kaspersky-Experten haben kürzlich die Sicherheit eines beliebten Spielzeugroboters untersucht und dabei schwerwiegende Probleme gefunden. Wie sich zeigte, konnten böswillige Akteure über einen solchen Roboter Videoanrufe tätigen, das Elternkonto kapern und möglicherweise sogar manipulierte Firmware hochladen. Unser Artikel enthält alle interessanten Details.
Ein hochbegabter Spielzeugroboter
Das von uns untersuchte Robotermodell ist ein Hybrid aus einem Smartphone/Tablet und einem Smart-Lautsprecher auf Rädern, mit denen er sich fortbewegen kann. Da der Roboter keine Arme und Beine hat, kann er nur im Haus herumrollen, um physisch mit seiner Umgebung zu interagieren.
Das Herzstück des Roboters ist ein großer Touchscreen, der wahlweise eine Steuerungsoberfläche, interaktive Lern-Apps für Kinder oder ein lebhaftes, detailliert animiertes Zeichentrickgesicht anzeigt. Die Mimik ändert sich je nach Kontext. Kompliment an die Entwickler! Bei der Persönlichkeit des Roboters haben sie ganze Arbeit geleistet.
Der Roboter lässt sich mit Sprachbefehlen steuern, was jedoch nicht für alle Features funktioniert. Darum muss man den Roboter manchmal einfangen und ihm ins Gesicht auf den integrierten Bildschirm tippen.
Neben einem integrierten Mikrofon und einem recht lauten Lautsprecher hat der Roboter knapp über dem Bildschirm eine Weitwinkelkamera. Als eine Schlüsselfunktion preist der Anbieter an, dass Eltern ihre Kinder direkt auf dem Roboter per Video anrufen können.
Auf der Vorderseite, etwa in der Mitte zwischen dem Bildschirm und den Rädern, befindet sich ein zusätzlicher Sensor zur optischen Objekterkennung. Er hilft dem Roboter, Zusammenstöße zu vermeiden. Da die Hinderniserkennung völlig unabhängig von der Hauptkamera ist, haben die Entwickler eine praktische Klappe angebracht, die den Sensor vollständig abdecken kann.
Solltest du also befürchten, die Kamera könnte dich oder dein Kind beobachten – leider nicht ohne Grund, wie sich später herausstellen wird –, kannst du einfach die Klappe schließen. Und falls du den Verdacht hast, jemand könnte dich über das integrierte Mikrofon belauschen, schalte den Roboter einfach aus (der Zeit nach zu urteilen, die der Neustart dauert, handelt es sich um eine echte Abschaltung, nicht um Standby).
Selbstverständlich gibt es für Eltern eine App zur Steuerung und Überwachung des Spielzeugs. Und wie du sicher schon vermutet hast, ist alles mit dem Internet verbunden. Zudem wird insgeheim eine Reihe von Cloud-Diensten genutzt. Technische Details findest du in der vollständigen Version unserer Sicherheitsstudie, die wir auf Securelist veröffentlicht haben.
Wie immer gilt: Je komplexer ein System ist, desto wahrscheinlicher weist es Sicherheitslücken auf, die sich für böse Streiche eignen. Und damit wären wir beim entscheidenden Punkt: Bei der genauen Untersuchung des Roboters haben wir mehrere schwerwiegende Schwachstellen gefunden.
Unerlaubte Videoanrufe
Unsere erste Erkenntnis war, dass Angreifer mit jedem Roboter dieses Modells Videoanrufe tätigen konnten. Anhand der Roboter-ID und der Eltern-ID konnte vom Server des Herstellers problemlos ein Videositzungstoken abgerufen werden. Die Roboter-ID ist relativ leicht zu erraten: Alle Roboter haben eine neunstellige ID. Sie hat Ähnlichkeit mit der auf dem Gehäuse aufgedruckten Seriennummer, und die ersten beiden Zeichen sind für alle Roboter identisch. Die Eltern-ID konnte man erhalten, indem eine Anfrage mit der Roboter-ID an den Server des Herstellers gesendet wurde. Dabei war keine Authentifizierung erforderlich.
Ein Angreifer, der ein zufälliges Kind anrufen wollte, konnte entweder versuchen, die ID eines bestimmten Roboters zu erraten, oder er konnte Chat-Roulette spielen und zufällige IDs ausprobieren.
Vollständiges Kapern des Elternkontos
Und damit nicht genug. Das System war wirklich sehr leichtgläubig. Anhand einer Roboter-ID konnte man viele persönliche Informationen vom Server abrufen: IP-Adresse, Land, Name, Geschlecht und Alter des Kindes — und als Zugabe noch Details des Elternkontos: E-Mail-Adresse und Telefonnummer der Eltern sowie einen Code, durch den die Eltern-App mit dem Roboter verknüpft war.
Dies wiederum öffnete die Tür für einen weitaus gefährlicheren Angriff: Das Elternkonto konnte komplett übernommen werden. Dazu waren ein paar einfache Schritte ausreichend:
- Anmeldung beim Elternkonto – ganz einfach vom eigenen Gerät aus mit der zuvor erhaltenen E-Mail-Adresse oder Telefonnummer. Zur Autorisierung musste ein sechsstelliger Einmalcode eingegeben werden. Die Anzahl der Anmeldeversuche war dabei unbegrenzt – mit trivialen Brute-Force-Methoden war dies also kein Problem.
- Die Verknüpfung des Roboters zum echten Elternkonto konnte mit einem einzigen Klick aufgehoben werden.
- Und schon hätte das Smart Toy mit dem Konto des Angreifers verknüpft werden können. Zur Kontoüberprüfung diente der oben genannte Verknüpfungscode, und dieser wurde vom Server ganz freimütig herausgegeben.
Nach einem erfolgreichen Angriff hätten die Eltern keinen Zugriff mehr auf den Roboter. Und der Zugriff ließ sich nur mithilfe des technischen Supports wiederherstellen. Doch selbst dann hätte der Angreifer den Vorgang einfach wiederholen können – alles war er dazu benötigte, war die Roboter-ID, die unverändert blieb.
Hochladen von modifizierter Firmware
Als wir die Funktionsweise der verschiedenen Systeme des Roboters unter die Lupe nahmen, bemerkten wir Sicherheitsprobleme beim Software-Update. Die Update-Pakete wurden ohne digitale Signatur bereitgestellt, und der Roboter installierte ein speziell formatiertes Update-Archiv, das er vom Server des Herstellers erhalten hatte, ohne jegliche Überprüfung.
Dies eröffnete die Möglichkeit, den Update-Server anzugreifen, das Archiv durch ein modifiziertes Archiv zu ersetzen und bösartige Firmware hochzuladen. Dann könnten Angreifer auf allen Robotern beliebige Befehle mit erweiterten Rechten ausführen. Theoretisch könnten die Angreifer dann die Kontrolle über die Fortbewegung des Roboters übernehmen, die integrierten Kameras und Mikrofone zu Spionagezwecken verwenden, Roboter anrufen und vieles mehr.
So schützt du dich
Zum Glück hat diese Geschichte ein Happy End. Nachdem wir den Spielzeughersteller über die gefundenen Probleme informiert hatten, wurden entsprechende Maßnahmen ergriffen. Alle oben beschriebenen Schwachstellen wurden inzwischen behoben.
Zum Schluss haben wir noch ein paar Tipps, wie du dich bei der Verwendung intelligenter Geräte schützen kannst:
- Alle Arten von Smart-Geräten – sogar Spielzeuge – sind in der Regel hochkomplexe digitale Systeme. Und die Entwickler schaffen es oft nicht, die sichere und zuverlässige Speicherung von Nutzerdaten zu gewährleisten.
- Wenn du ein Gerät kaufst, lies die Feedbacks und Erfahrungsberichte von anderen Nutzern genau durch und schau dir Sicherheitsberichte an, falls es welche gibt.
- Wenn Schwachstellen in einem Gerät gefunden werden, bedeutet dies nicht automatisch, dass es minderwertig ist: Probleme können überall auftreten. Viel wichtiger ist die Reaktion des Herstellers: Es ist ein gutes Zeichen, wenn Schwachstellen behoben wurden. Ignoriert der Hersteller solche Probleme hingegen, verdient er schlechte Noten.
- Um zu verhindern, dass du über deine Smart-Geräte ausspioniert oder belauscht wirst, schalte sie aus, wenn du sie gerade nicht verwendest, und decke die Kamera ab – entweder mit einer vorhandenen Klappe oder mit Klebeband.
- Und zu guter Letzt: Schütze die Geräte aller deiner Familienmitglieder mit einer zuverlässigen Sicherheitslösung. Ein gehackter Spielzeugroboter hört sich ziemlich exotisch an – aber die Wahrscheinlichkeit, auf andere Arten von Online-Bedrohungen zu stoßen, ist heutzutage unheimlich hoch.