Sonderbericht: Wir haben 10 beliebte Spielzeuge gehackt – für Ihre Sicherheit und Privatsphäre

Wenn ein Spielzeug mit dem Internet verbunden ist, kann es Informationen über Sie und Ihre Kinder an die Server des Anbieters zurücksenden – sowie an Drittunternehmen, mit denen der Anbieter Datenaustauschvereinbarungen getroffen hat.

Wir haben 7ASecurity, eine vertrauenswürdige Beratungsfirma für Cybersicherheit, damit beauftragt, zehn der beliebtesten Smart Toys zu hacken, um Datenschutz- und Sicherheitsbedenken aufzudecken.

„Bei den zehn für diesen Report geprüften Smart Toys fand 7ASecurity weit verbreitete Sicherheits- und Datenschutzschwächen. In der Praxis bedeutet dies, dass viele Spielzeuge, die für Kinder vermarktet werden, missbraucht werden könnten, um Familien auszuspionieren, zu manipulieren, was Kinder hören oder sehen, oder sensible Daten preiszugeben.“

Wir haben diese Spielzeuge aufgrund ihrer weltweiten Beliebtheit bei Käufern ausgewählt. Diese zehn Spielzeuge sind hinsichtlich ihrer Funktionen zudem repräsentativ für viele andere vernetzte Spielzeuge auf dem Markt. Unsere Ergebnisse zeigen, dass in diesen Produkten ernsthafte Sicherheitslücken stecken. 7ASecurity hat die folgenden Spielzeuge getestet:

• Amazon Fire Kids Tablet, ein Amazon-Tablet, das für Kinder im Alter von 3-7 Jahren entwickelt wurde und über eine Kindersicherung verfügt
• Emo Robot, ein Mini-Roboter als Begleiter, der mit Ihnen am Schreibtisch spielt
• GoCube Edge, ein per Bluetooth vernetzter Zauberwürfel
• Huawei Watch Kids 4, eine Smartwatch, die für Kinder entwickelt wurde
• Miko Mini, ein dialogfähiger Begleitroboter für Kinder
• PlayShifu Plugo Count, ein MINT-Lernspiel, das mit einem Tablet oder Handy verbunden wird
• Powerup 4.0 Airplane, ein per Smartphone gesteuerter Papierflieger
• Sphero Mini Activity Kit, ein Set mit einem per Smartphone gesteuerten Roboterball
• TickTalk 5, eine Smartwatch, die für Kinder entwickelt wurde
• Toniebox 1, ein Audioplayer mit Musik, Geschichten und Spielen

Hier sind die häufigsten Probleme, die wir bei unserem Sicherheits-Check mit 7ASecurity identifiziert haben.

Eine fremde Stimme in Ihrem Spielzeug

Kinderspielzeug mit Sprachfunktionen hat sich weit von den Tagen einer Zugschnur an einer Sprechbox entfernt. Internetfähiges Spielzeug mit Spracherkennung kann Ihrem Kind zuhören und antworten, indem es eine Anfrage an einen Online-Dienst stellt, der meist von KI betrieben wird.

Der Internetdienst generiert dann eine Antwort mithilfe von Text-to-Speech-Software, die anschließend aus dem Internet zurück an den Lautsprecher des Spielzeugs zur Wiedergabe gesendet wird.

Die Prüfung von 7ASecurity ergab, dass einige der von uns aufgelisteten Spielzeuge Sicherheitslücken aufweisen, durch die ein Angreifer den Lautsprecher kapern könnte, indem er die an Ihr Kind zurückgesendeten Antworten abfängt und verändert.

Was ist das Risiko? Obwohl die Sicherheit bei diesen Spielzeugen sicherlich besser sein könnte, fand 7ASecurity keine Beweise dafür, dass die bei den 10 geprüften Spielzeugen entdeckten „Voice Injection“-Angriffe vollständig aus der Ferne durchgeführt werden können. Ein Angreifer müsste in der Lage sein, Ihren Datenverkehr mittels einer „Man-in-the-Middle“-Technik abzufangen. Die einzigen plausiblen Täter wären also ein betrügerischer Mitarbeiter eines Internetanbieters, ein Hacker im selben WLAN-Netzwerk wie Ihr Spielzeug oder ein Angreifer in Bluetooth-Reichweite.

Realistischerweise müssen Sie sich keine Sorgen machen, wenn Ihr Heim-WLAN geeignete Sicherheitskontrollen wie WPA3 verwendet und Sie den anderen Geräten in Ihrem Netzwerk vertrauen. Sie müssten sich jedoch Sorgen machen, wenn Sie einen unsicheren öffentlichen WLAN-Zugangspunkt nutzen, an dem ein Hacker möglicherweise Ihren Internetverkehr überwachen könnte.

Auswirkungen in der realen Welt:

7ASecurity fand heraus, dass das folgende Spielzeug von diesem Problem betroffen ist:

• Emo Robot, ein Mini-Roboter als Begleiter, der mit Ihnen am Schreibtisch spielt

Mit der Kontrolle über den Lautsprecher könnte ein Angreifer Ihrem Kind ohne Aufsicht unangemessene Sprachnachrichten senden. Stellen Sie sich vor, Sie geben Hunderte von Euro für einen sprachgesteuerten Teddybären aus, nur damit dieser plötzlich anfängt, wahllos Obszönitäten von sich zu geben. Das geht über bloße Streiche hinaus. Im schlimmsten Fall könnte ein Täter das implizite Vertrauen, das Kinder in ihre Spielzeuge setzen, nutzen, um sie an einen gefährlichen Ort zu locken.

Lage, Lage, Lage

Die meisten Spielzeuge in dieser Liste verfügen über einen internen Speicher, der es ermöglicht, Medien wie Sprachclips, Bilder und Videos zu speichern, die über Mikrofone und Kameras aufgenommen wurden. Selbst wenn die Lieblingsmomente Ihrer Liebsten nicht in die Cloud gesendet werden, um KI-Modelle zu füttern, endet das Problem dort nicht.

7ASecurity fand heraus, dass diese Dateien manchmal schlecht gesichert sind: sowohl auf den Spielzeugen unserer Liste als auch in den dazugehörigen Apps. Unsere Untersuchung deutet darauf hin, dass es mehrere Probleme damit gibt, wie personenbezogene Daten lokal gespeichert werden. Das reicht von Herstellern, die sich gegen die sichersten verfügbaren Speicheroptionen in mobilen Apps entscheiden, bis hin zum Verzicht auf Verschlüsselung bei Dateien auf internen und externen Speichern.

Es scheint jedoch, dass mangelnde physische Sicherheit der Hauptverursacher ist. Laut 7ASecurity haben „4 von 10 [Spielzeugen] sensible Daten durch unsichere physische Speicherung offengelegt.“

Was ist das Risiko? Wenn das Spielzeug Ihres Kindes gestohlen wird oder verloren geht, könnte auf Ihre privaten Informationen zugegriffen werden. Dies gilt auch für Spielzeuge, die Sie gespendet, verkauft oder entsorgt haben. Ohne ordnungsgemäße Verschlüsselung wäre ein Angreifer in der Lage, die SD-Karte aus dem Spielzeug zu entfernen und auf alle auf dem Gerät gespeicherten Bilder und Videos zuzugreifen.

Stellen Sie sicher, dass Sie eine verschlüsselte Option wählen, wenn Sie gefragt werden, wie Ihre Daten gespeichert werden sollen. Wenn Sie nicht alle gespeicherten Daten ordnungsgemäß vom Spielzeug löschen, bevor es Ihre Hände verlässt, stellt dies eine potenzielle Bedrohung für Ihre Privatsphäre dar.

Auswirkungen in der realen Welt:

7ASecurity fand heraus, dass das folgende Spielzeug von diesem Problem betroffen ist:

• Amazon Fire Kids Tablet, ein Amazon-Tablet, das für Kinder im Alter von 3-7 Jahren entwickelt wurde und über eine Kindersicherung verfügt
• Emo Robot, ein Mini-Roboter als Begleiter, der mit Ihnen am Schreibtisch spielt
• Huawei Watch Kids 4, eine Smartwatch, die für Kinder entwickelt wurde
• PlayShifu Plugo Count, ein MINT-Lernspiel, das mit einem Tablet oder Handy verbunden wird
• TickTalk 5, eine Smartwatch, die für Kinder entwickelt wurde
• Toniebox 1, ein Audioplayer mit Musik, Geschichten und Spielen

Je nachdem, was das Spielzeug aufgezeichnet hat, könnte ein Angreifer Zugang zu allem haben – von intimen Familiengesprächen bis hin zu Hinweisen über den Grundriss Ihres Hauses. Hier sind nur einige Dinge, die ein Angreifer aus Ihren weggeworfenen Daten lernen könnte:

• Adressen, Telefonnummern oder tägliche Routinen durch Sprachaufzeichnungen
• Standortdaten, die in Fotos und Aufnahmen eingebettet sind
• Namen von Familienmitgliedern und Beziehungen aus Kontaktdaten
• Zeitstempel, die verraten, wann das Zuhause bewohnt oder leer ist

Es gibt eine Fülle von Informationen, die diese Spielzeuge aufzeichnen, daher ist das Treffen der richtigen Vorsichtsmaßnahmen ein Muss.

Die Daten, die Sie preisgeben

Sie haben das wahrscheinlich schon erlebt: Alle haben ihre Geschenke ausgepackt, angefangen mit ihren glänzenden neuen Spielzeugen zu spielen, und ehe Sie sich versehen, laden Sie Apps herunter und füllen Registrierungsformulare aus, nur damit die vernetzte Dinosaurier-Actionfigur Ihres Kindes brüllt, wenn es daran vorbeigeht.

Wenn Sie besorgt sind, ob die persönlichen Daten Ihres Kindes bei der Anmeldung zu diesen Diensten korrekt geschützt werden, haben Sie völlig recht. Die Prüfungen von 7ASecurity ergaben, dass „6 von 10 Spielzeugen serverseitige Schwachstellen oder fehlende Authentifizierungskontrollen aufwiesen“.

Serverseitige Schwachstellen können im Umfang stark variieren, aber nach dem, was uns von 7ASecurity gezeigt wurde, könnten zumindest einige davon missbraucht werden, um die personenbezogenen Daten abzugreifen („Scraping“), die Sie einem Anbieter bereitgestellt haben. Personenbezogene Daten, zu deren Herausgabe Sie gezwungen waren, um die Funktionalität dieser Spielzeuge voll nutzen zu können.

Wir haben Beweise gesehen, dass einige dieser Fehlkonfigurationen missbraucht werden könnten, um eine Remotecodeausführung auf einem Spielzeug durchzuführen, was einem Angreifer die vollständige Kontrolle über die Funktionen des Spielzeugs geben würde.

Was ist das Risiko? Es hängt wirklich von dem Dienst ab, den Sie nutzen, aber wir haben gesehen, dass einige dieser internetfähigen Dienste erhebliche Sicherheitslücken aufweisen, die es einem Angreifer ermöglichen würden, ganze Datenbanken zu infiltrieren und persönliche Details im großen Stil zu ernten.

Die Daten, die Sie potenziell verlieren könnten, umfassen:

• Vollständige Namen, Geburtsdaten und das Alter von Kindern
• Ihre E-Mail-Adressen und Telefonnummern
• Wohnadressen für Produktlieferungen
• Sprachaufzeichnungen und Video-Chats
• Nutzungsmuster, die verraten, wann Kinder zu Hause und wach sind
• GPS-Koordinaten von ortsbezogenen Spielzeugen

Was die Remotecodeausführung betrifft: Ein Angreifer, der die Kontrolle über ein vernetztes Spielzeug erlangt, könnte Kameras und Mikrofone ohne Ihr Wissen aktivieren und Ihr Spielzeug in ein Überwachungsgerät im Kinderzimmer verwandeln. Alle Daten, die das Spielzeug passieren, wären für den Angreifer zugänglich.

Auswirkungen in der realen Welt:

7ASecurity fand heraus, dass das folgende Spielzeug von diesem Problem betroffen ist:

• PlayShifu Plugo Count, ein MINT-Lernspiel, das mit einem Tablet oder Handy verbunden wird
• Powerup 4.0 Airplane, ein per Smartphone gesteuerter Papierflieger
• Sphero Mini Activity Kit, ein Set mit einem per Smartphone gesteuerten Roboterball
• TickTalk 5, eine Smartwatch, die für Kinder entwickelt wurde
• Toniebox 1, ein Audioplayer mit Musik, Geschichten und Spielen

Keine zwei Datenlecks sind in Umfang oder Auswirkung gleich. 7ASecurity merkte jedoch an:

„Jedes Spielzeug in der Studie verarbeitete irgendeine Form von personenbezogenen Daten über Kinder oder Eltern, und die Hälfte von ihnen sammelte auch Standortdaten. Wenn dieses Ausmaß der Datenerfassung mit schwachen Schutzmaßnahmen kombiniert wird, könnten Angreifer oder missbräuchliche Insider die Identität, den Tagesablauf oder den Aufenthaltsort eines Kindes mit besorgniserregender Präzision rekonstruieren.“

Was eigentlich in der Datenschutzerklärung steht

Das Durchlesen von Datenschutzerklärungen für ein internetfähiges Spielzeug ist das Letzte, was Sie während der hektischen Feiertage tun wollen. Aber angesichts der Fähigkeiten, auf die einige dieser Spielzeuge Zugriff haben, ist es wichtig, Ihre Sorgfaltspflicht zu erfüllen. Wenn ein Spielzeug Ton, Video und GPS-Koordinaten aufzeichnen kann, wollen Sie sichergehen, dass diese Daten ordnungsgemäß behandelt werden.

Einige der von uns untersuchten Spielzeuge bieten unzureichende Informationen, wenn es um die Dokumentation der erfassten persönlichen Daten geht – insbesondere in Bezug darauf, wie Dritte Ihre Daten verarbeiten. In anderen Fällen sind die relevanten Informationen unter seitenlangem Juristendeutsch vergraben, was es extrem schwierig macht, genau zu verstehen, wie und wo die Daten Ihres Kindes verwendet werden.

Wo liegt das Risiko? Sie können keine informierte Entscheidung darüber treffen, welche Daten das Spielzeug Ihres Kindes sammelt und wie diese mit Dritten geteilt werden.

Dieser Mangel an Transparenz verletzt nicht nur das Grundprinzip der informierten Einwilligung Informed Consent, sondern kann Spielzeughersteller auch in Konflikt mit Datenschutzgesetzen für Kinder bringen, wie dem COPPA in den USA oder der DSGVO in Europa.

Auswirkungen in der realen Welt:

7ASecurity fand heraus, dass das folgende Spielzeug von diesem Problem betroffen ist:

• Emo Robot, ein Mini-Roboter als Begleiter, der mit Ihnen am Schreibtisch spielt
• Toniebox 1, ein Audioplayer mit Musik, Geschichten und Spielen

Ohne ordnungsgemäße Dokumentation ist es unmöglich zu wissen, wie ein Hersteller Ihre Daten verwendet. Wenn sich ein Hersteller nicht die Mühe macht, seine Datenpraktiken ordnungsgemäß zu dokumentieren, lohnt es sich zu fragen, was er sonst noch nicht ordnungsgemäß erledigt.

Es ist auch notwendig zu wissen, welche Daten über Sie gesammelt werden, damit Sie Ihre Rechte effektiv wahrnehmen können. Sie sollten auch verstehen können, welche Sicherheitsmaßnahmen die Daten schützen und welche Rechte Sie haben, um auf die Daten Ihrer Kinder zuzugreifen, sie zu korrigieren oder zu löschen.

Zumindest sollten Sie klare Informationen über jede Art der gesammelten Daten erwarten (Audio, Video, Standort, Nutzungsmuster), wie diese Daten sowohl vom Hersteller als auch von Dritten verwendet werden, wie lange die Daten gespeichert werden, wie der Prozess zur Löschung aussieht und wer Zugriff darauf hat.

Bluetooth als Einfallstor

Wir haben uns das besorgniserregendste Problem, das 7ASecurity gefunden hat, für den Schluss aufgehoben. Einige der Geräte, die wir von 7ASecurity haben untersuchen lassen, weisen eine sehr eingeschränkte oder gar keine Bluetooth-Authentifizierung auf. Das bedeutet, dass ein Angreifer das Spielzeug fernsteuern kann, wenn er sich in Kopplungsreichweite des Geräts befindet.

Oberflächlich betrachtet mag dies wie ein Angriffsvektor mit relativ geringem Risiko erscheinen, aber die Realität ist bedenklicher. Während Bluetooth-Angriffe erfordern, dass sich ein Angreifer in der Nähe befindet, sind sie trivial durchzuführen. Schlimmer noch: Bluetooth-Signale dringen leicht durch Wände in Orten wie Mehrfamilienhäusern und können Spielzeuge in Schulen, Kindertagesstätten oder sogar in Ihrem Auto erreichen, wenn Sie an öffentlichen Orten halten.

Sobald sie verbunden sind, haben viele dieser Spielzeuge keinen Mechanismus, um Sie zu warnen, dass sich ein nicht autorisiertes Gerät mit ihnen gekoppelt hat. Das Spielzeug akzeptiert einfach die Verbindung und reagiert auf Befehle.

In mindestens einem Fall haben wir gesehen, dass ein Bluetooth-Exploit zur vollständigen, dauerhaften Übernahme des Geräts führen könnte. Das Spielzeug Ihres Kindes könnte tage- oder wochenlang kompromittiert sein, ohne dass Sie eine Möglichkeit haben, dies zu bemerken.

Was ist das Risiko? Es hängt wirklich von den Fähigkeiten des Spielzeugs ab und davon, wie viel Zugriff ein Angreifer hat. Am unteren Ende könnten sie Lichter blinken lassen oder Geräusche abspielen, um den Schlaf zu stören oder Kinder zu erschrecken, den Akku des Spielzeugs entleeren und es unbrauchbar machen oder das Spielzeug sich unberechenbar bewegen lassen.

Wir haben jedoch auch gesehen, dass schwerwiegendere Verletzungen der Privatsphäre möglich sind. Wenn ein Gerät mit schlechter Bluetooth-Sicherheit auch Zugriff auf ein Mikrofon oder eine Kamera hat, könnte ein Angreifer diese aktivieren, um Gespräche abzuhören, oder den Standort des Spielzeugs verfolgen, wenn es GPS-fähig ist. Tatsächlich hat frühere Forschung von 7ASecurity gezeigt, dass genau dieser Angriff bei der CloudPets-Spielzeugserie möglich war, was dazu führte, dass diese vom Markt genommen wurden.

Auswirkungen in der realen Welt:

7ASecurity fand heraus, dass das folgende Spielzeug von diesem Problem betroffen ist:

• GoCube Edge, ein per Bluetooth vernetzter Zauberwürfel
• Powerup 4.0 Airplane, ein per Smartphone gesteuerter Papierflieger
• Sphero Mini Activity Kit, ein Set mit einem per Smartphone gesteuerten Roboterball

Es ist unwahrscheinlich, aber ein besonders motivierter Hacker könnte ein Bluetooth-vernetztes Spielzeug als Dreh- und Angelpunkt nutzen, um Ihr gesamtes Heimnetzwerk zu infiltrieren.

Obwohl dies erhebliche Fähigkeiten erfordern würde, haben wir mit 7ASecurity bestätigt, dass sich Bluetooth-Exploits nicht nur auf die Übernahme der Spielzeugfunktionen beschränken. In einigen Fällen könnte ein Angreifer die fehlende Bluetooth-Authentifizierung eines Spielzeugs ausnutzen, um im Netzwerk Fuß zu fassen und diesen Zugang dann nutzen, um andere Geräte wie Computer, Smartphones, Smart-Home-Systeme und Sicherheitskameras anzugreifen.

Das ist ein Szenario für Profis und eher unwahrscheinlich. Aber für Familien, die im öffentlichen Fokus stehen, ist die Bedrohung absolut real.

Aber es gibt auch gute Nachrichten

Bei den zehn Spielzeugen, die wir getestet haben, teilten uns zwei der Spielzeughersteller als Antwort auf unsere Anfragen mit, dass sie die von uns identifizierten Sicherheitsprobleme bereits behoben haben – entweder durch Updates oder in ihren neuesten Produkten.

Die Toniebox 1, das Modell, das wir getestet haben, wird nicht mehr produziert, kann aber noch online gekauft werden. Ein Sprecher sagte, dass bei der Toniebox 2 Änderungen und Upgrades implementiert wurden, die den Zugriff auf Daten verhindern. „Neben anderen Verbesserungen haben wir auch die beiden von Ihnen genannten Ergebnisse adressiert.“

Der Miko Mini hat im letzten Jahr mehrere Sicherheitsupdates erhalten, um zu verhindern, dass sich das Gerät mit offenen oder ungesicherten WLAN-Netzwerken verbindet.

„Die Miko Parental App erzwingt strikt WPA 2.0-gesichertes WLAN sowohl für die Einrichtung als auch für den Betrieb. Offene Netzwerke, Captive Portals und öffentliche WLAN-Umgebungen (wie Cafés, Flughäfen oder Hotels) werden auf der Konfigurationsebene explizit blockiert und können von Nutzern nicht umgangen werden“, sagte Ritvik Sharma, Chief Growth Officer bei Miko.

Das Unternehmen hat auch ein Programm zur Meldung von Schwachstellen eingerichtet, in dem Sicherheitsprobleme gemeldet werden können, und akzeptiert sogar Patch- oder Minderungsvorschläge aus seiner Community.

Ich habe bereits eines dieser Spielzeuge, was nun?

Werfen Sie die Flinte noch nicht ins Korn. Nach der Lektüre unseres Reports mag es verlockend sein, ganz aufzugeben und zu hoffen, dass die Kinder in Ihrem Leben auch mit Stock und Reifen glücklich werden. Aber es gibt immer noch ein paar Dinge, die Sie tun können, um die Risiken von mit dem Internet verbundenen Spielzeugen zu mindern.

1. Recherche vor dem Kauf:

Wenn Sie ein Spielzeug kaufen, prüfen Sie, ob es einen Offline-Modus hat oder ob es Funktionen gibt, die zwingend ein Online-Konto oder eine mobile App erfordern. Es lohnt sich auch, online zu suchen, um zu sehen, ob bei dem Spielzeug, das Sie haben, bereits Probleme gefunden wurden.

2. Nach dem Kauf:

Falls es ein Standardpasswort gibt: Ändern Sie es! Wenn möglich, sollten Sie auch Kamera und Mikrofon deaktivieren, sobald das Spielzeug nicht mehr benutzt wird. Vorsichtshalber ist es auch eine gute Idee, das Spielzeug in einem separaten WLAN zu betreiben oder die Internetverbindung ganz abzuschalten.

3. Wenn Sie sich von einem Spielzeug trennen:

Setzen Sie das Gerät auf die Werkseinstellungen zurück, entfernen Sie die SD-Karte sowie jeglichen internen Speicher und entsorgen Sie diese separat, und löschen Sie alle Konten, die Sie beim Hersteller haben.

Das Fazit:

Der Komfort einer Internetverbindung darf niemals auf Kosten der Sicherheit und Privatsphäre Ihres Kindes gehen.

Wenn die Probleme, die wir aufgezeigt haben, beängstigend genug klingen, um Sie beim Weihnachtseinkauf zögern zu lassen, gibt es einen todsicheren Weg, um nicht Opfer dieser Angriffe zu werden: Kaufen Sie Low-Tech-Geschenke, bis die Spielzeugindustrie als Ganzes regelmäßige unabhängige Sicherheitsprüfungen für vernetztes Spielzeug einführt.

Illustration von Nancy Tran. Foto: Adobe Stock