Die ''Hello Barbie''

Vernetztes Spielzeug im Visier von Hackern Sicherheitslücke in neuer Barbie

Stand: 07.12.2015 13:57 Uhr

Kinder sprechen seit jeher gerne mit ihren Puppen - doch die neue "Hello Barbie" kann sogar antworten. Möglich macht das eine Internetverbindung zum Hersteller. Doch die ist nicht sicher, sagen Experten. Auch anderes vernetztes Spielzeug ist im Visier von Hackern.

In der neuen Barbie-Puppe mit Internet-Anschluss haben Experten mehrere Sicherheitslücken entdeckt, die potenziellen Angreifern einen weitreichenden Datenzugang eröffnet hätten. Einige Schwachstellen seien aber bereits geschlossen worden, erklärte die Firma ToyTalk, die sich für den Spielzeug-Riesen Mattel um die vernetzten Funktionen kümmert, der "Washington Post".

Immer dasselbe Passwort, ...

Und so funktioniert es: Die High-Tech-Version der Barbie ist mit Mikrofon und Lautsprecher ausgestattet und verbindet sich über WLAN oder Bluetooth mit dem Internet. Was die Kinder sagen, wird zur Spracherkennung an Server der Firma im Netz geschickt und ausgewertet, damit die Puppe mit passenden Sätzen antworten kann.

Die Firma Bluebox entdeckte nun mehrere Lücken in der dazugehörigen App. Unter anderem sei die Verbindung zwischen App und Puppe immer mit dem selben Passwort abgesichert worden. Wenn jemand es also in Erfahrung bringen würde, könnte er leicht Anwendungen schreiben, die als vertrauenswürdig eingestuft würden und sich mit der Barbie verbinden könnten, erläuterte Bluebox.

... automatische Verbindung mit "Barbie"-WLANs ...

Außerdem sei sie anfällig für die bereits seit vergangenem Jahr bekannte "POODLE"-Sicherheitslücke gewesen, mit der auf eine schwächere und dadurch knackbare Verschlüsselung umgeschaltet werden kann. Zudem verband sich die App bei der ersten Einrichtung der Puppen-Software mit jedem ungesicherten WLAN, das das Wort "Barbie" im Namen hatte. Im Prinzip könnten sich Angreifer also mit der Puppe verbinden und sowohl mithören als auch steuern, was die Puppe sagt. Außerdem könnten Anmeldedaten und Netzwerkinformationen abgegriffen werden.

... und eine lange bekannte Schwachstelle

Die Sicherheitslücken bei "Hello Barbie" sind umso frappierender, da Mattel und ToyTalk schon seit Monaten unter Druck standen, die höchstmögliche Datensicherheit zu garantieren. In den USA hatte sich Widerstand besorgter Eltern formiert, die unter anderem in Online-Petitionen forderten, das Spielzeug zu stoppen, weil die Privatsphäre nicht ausreichend geschützt sei. Für Mattel und ToyTalk könnte vor allem die "POODLE"-Schwachstelle der Barbie zum Problem werden - ihre Existenz war hinreichend bekannt. Deshalb könnte die Handelsbehörde FTC aktiv werden, die die Einhaltung von Datenschutz-Versprechen überwacht.

"Hello Barbie" ist seit kurzem in den USA für 75 Dollar (71 Euro) erhältlich, der US-Spielzeughersteller Mattel will damit einen Spitzenplatz unter den Weihnachtsbäumen ergattern und die Verkaufszahlen ankurbeln. Denn seit Jahren werden immer weniger Barbie-Puppen verkauft. Der Umsatz des Herstellers Mattel wird in diesem Jahr erstmals unter einer Milliarde Dollar liegen.

Kinder-Smartwatches des Herstellers VTech
galerie

Kinder-Smartwatches des Herstellers VTech

Hackerangriff auf VTech-Datenbanken

Sicherheit von vernetztem Spielzeug ist aber nicht nur bei Barbie ein Thema. Erst vergangene Woche wurde eine Hacker-Attacke auf den Lernspielzeug-Anbieter VTech bekannt, bei der sich die Angreifer Zugang zu fast 6,4 Millionen Kinder-Profilen mit Namen, Geschlecht und Geburtstagen verschaffen konnten. Hinzu kommen mehr als 4,8 Millionen anhängende Eltern-Konten. In Deutschland sind rund 509.000 Profile von Kindern und knapp 391.000 Eltern-Konten betroffen.

Gehackt worden sei nicht nur die Kundendatenbank des App-Stores der sogenannten Learning Lodge, über den Spiele, E-Books und anderes Material für VTech-Produkte heruntergeladen werden. Unbekannte hätten auch auf den Server des Kid Connect Network zugegriffen, das ähnlich wie der Kurznachrichtendienst WhatsApp funktioniere, teilte VTech mit. Sicherheitshalber seien daher vorläufig sowohl die Learning Lodge, das Kid Connect Network und eine Reihe von Websites des Unternehmens abgeschaltet worden.

Die angegriffene Kundendatenbank enthält laut VTech Namen, Passwörter, IP- und E-Mail-Adressen, aber auch die Postadresse. Auch die Namen und Geburtsdaten sowie die Profilfotos von Kindern für Kid Connect seien dort gespeichert. Kreditkarten-Daten sind der Firma zufolge nicht darunter. Die Passwörter seien zwar verschlüsselt, aber vor gewieften Hackern seien sie möglicherweise trotzdem nicht sicher. Deshalb sollten Kunden umgehend ihre Passwörter auf anderen Websites ändern, die mit derselben E-Mail-Adresse und demselben Passwort funktionierten, empfahl das Unternehmen.

Darstellung: