Diese Sicherheitslücke ermöglicht es Hackern, das Robotersystem zu steuern, um ohne Zustimmung der Eltern Videochats mit Kindern durchzuführen. Doch damit nicht genug: Die mit der Anwendung dieses Robotersystems verbundenen Risiken bergen auch andere Gefahren. So können beispielsweise persönliche Daten von Kindern, darunter Name, Geschlecht, Alter und sogar der geografische Standort, gestohlen werden.

Dies ist ein Spielzeugroboter für Kinder, der mit dem Android-Betriebssystem läuft, mit einer Kamera und einem Mikrofon ausgestattet ist und künstliche Intelligenz nutzt, um Kinder zu erkennen, sie beim Namen zu nennen und automatisch auf die Stimmung des Kindes zu reagieren. Nach einer Weile gewöhnt sich der Roboter an das Kind. Um die Funktionen des Roboters voll nutzen zu können, müssen Eltern die Steuerungsanwendung auf ihre Mobilgeräte herunterladen. Mithilfe der App können Eltern den Lernfortschritt ihres Kindes überwachen und über den Roboter sogar Videoanrufe mit ihm tätigen.

Während der Einrichtungsphase werden die Eltern angewiesen, den Roboter über WLAN mit ihrem Mobilgerät zu verbinden und anschließend dem Gerät den Namen und das Alter des Kindes mitzuteilen. Allerdings entdeckten die Experten von Kaspersky ein besorgniserregendes Sicherheitsproblem: Die Anwendungsprogrammierschnittstelle, die Informationen über Kinder anfordert, verfügt nicht über eine Authentifizierung. Dabei handelt es sich um eine wichtige Überprüfung, um zu bestätigen, wer auf die Netzwerkressourcen des Benutzers zugreifen darf.

Dadurch besteht das Risiko, dass Cyberkriminelle durch das Abfangen und Analysieren der Häufigkeit der Netzwerkzugriffe eine Vielzahl von Daten abfangen und stehlen können, darunter den Namen, das Alter, das Geschlecht, das Wohnsitzland und sogar die IP-Adresse eines Kindes.

Diese Sicherheitslücke ermöglicht es Angreifern, Live-Videoanrufe mit Kindern zu initiieren und dabei die Zustimmung des Elternkontos vollständig zu umgehen. Nimmt das Kind den Anruf an, kann der Angreifer ohne die Zustimmung der Eltern Geheimnisse mit dem Kind austauschen. In diesem Fall kann der Angreifer das Kind manipulieren, von zu Hause weglocken oder es zu gefährlichem Verhalten anleiten.

Darüber hinaus könnten Sicherheitsprobleme der Anwendung auf dem Mobilgerät der Eltern es Angreifern ermöglichen, den Roboter fernzusteuern und sich unbefugten Zugriff auf das Netzwerk zu verschaffen. Durch den Einsatz von Brute-Force-Methoden zur Wiederherstellung von OTP-Passwörtern und der Funktion zur unbegrenzten Anzahl fehlgeschlagener Anmeldeversuche können Angreifer den Roboter per Fernzugriff mit ihrem eigenen Konto verknüpfen und so die Kontrolle des Besitzers über das Gerät deaktivieren.

„Beim Kauf von Smart Toys ist es wichtig, nicht nur auf den Unterhaltungs- und Lernwert zu achten, sondern auch auf die Sicherheitsfunktionen“, sagt Nikolay Frolov, leitender Sicherheitsforscher bei Kaspersky ICS CERT. Obwohl allgemein angenommen wird, dass höhere Preise für mehr Sicherheit sorgen, ist es wichtig zu beachten, dass selbst die teuersten Smart-Spielzeuge nicht vollständig vor Schwachstellen geschützt sind, die Angreifer ausnutzen können. Daher sollten Eltern Spielzeugbewertungen sorgfältig lesen, Smart-Geräte stets auf dem neuesten Stand halten und die Spielaktivitäten ihrer Kinder genau beobachten.