Auf dem Markt gibt es eine Art Spielzeugroboter für Kinder, der mit dem Betriebssystem Android läuft und mit einer Kamera und einem Mikrofon ausgestattet ist. Das Spielzeug nutzt künstliche Intelligenz (KI), um Kinder zu erkennen und zu benennen, die Reaktionen automatisch an die Stimmung des Kindes anzupassen und sich nach einer Weile an das Kind zu gewöhnen.

Um die Funktionen dieses Roboters voll nutzen zu können, müssen Eltern die Steuerungsanwendung auf ihre Mobilgeräte herunterladen. Mithilfe der App können Eltern den Lernfortschritt ihres Kindes überwachen und über den Roboter sogar Videoanrufe mit ihm tätigen.

Während des Einrichtungsvorgangs werden die Eltern durch die Verbindung des Roboters mit ihrem Mobilgerät über WLAN geführt und geben anschließend den Namen und das Alter des Kindes in das Gerät ein.

Während der Einrichtungsphase entdeckten die Experten von Kaspersky ein besorgniserregendes Sicherheitsproblem, da die „Anwendungsprogrammierschnittstelle“, die Informationen über das Kind anfordert, keine Authentifizierung aufweist. Dies ist jedoch eine wichtige Überprüfung, um zu bestätigen, wer auf die Netzwerkressourcen des Benutzers zugreifen darf.

Diese Sicherheitslücke ermöglicht es Hackern, die Kontrolle über das Robotersystem zu übernehmen und möglicherweise Live-Videoanrufe mit Kindern zu initiieren, wobei die Zustimmung des Elternkontos vollständig umgangen wird. Nimmt das Kind den Anruf an, können die Bösewichte frei Geheimnisse mit dem Kind austauschen und es dann manipulieren, aus dem Haus locken oder zu gefährlichen Taten verleiten.

Darüber hinaus bergen die mit der Anwendung dieses Robotersystems verbundenen Risiken auch andere Gefahren, beispielsweise die Möglichkeit, dass persönliche Daten von Kindern gestohlen werden, darunter Name, Geschlecht, Alter und sogar geografischer Standort.

Experten gehen davon aus, dass Sicherheitsprobleme mit der App auf den Mobilgeräten der Eltern es Angreifern ermöglichen könnten, den Roboter fernzusteuern und sich unbefugten Zugriff auf das Netzwerk zu verschaffen. Sie können außerdem OTP-Passwörter wiederherstellen, eine unbegrenzte Anzahl fehlgeschlagener Anmeldeversuche einrichten und Hacker können Roboter per Fernzugriff mit ihren Konten verknüpfen und so die Kontrolle über das Gerät des Besitzers deaktivieren.

„Beim Kauf von Smart Toys ist es wichtig, nicht nur den Unterhaltungs- und Lernwert zu berücksichtigen, sondern auch auf Sicherheitsfunktionen zu achten“, betont Nikolay Frolov, leitender Sicherheitsforscher bei Kaspersky ICS CERT.

„Eltern sollten sich darüber im Klaren sein, dass selbst die teuersten intelligenten Spielzeuge nicht völlig immun gegen Schwachstellen sind, die Angreifer ausnutzen können. Daher ist es notwendig, Spielzeugbewertungen sorgfältig zu prüfen, intelligente Geräte stets auf die neueste Version zu aktualisieren und die Spielaktivitäten der Kinder genau zu überwachen“, warnte er.