KI-Spielzeugroboter: Hacker können spielende Kinder kontaktieren
Sicherheitsforscher von Kaspersky haben im System eines beliebten smarten Spielzeugroboters mehrere Schwachstellen identifiziert, die es Angreifern ermöglichen, unbemerkt Kontakt mit Kindern aufzunehmen, ihren Aufenthaltsort zu ermitteln und sensible Daten abzugreifen. Ermöglicht werde dies unter anderem durch eine fehlende Authentifizierungsprüfung in einer von dem Smart Toy verwendeten API, hieß es in einer Pressemitteilung des Security-Unternehmens.
Dadurch könnten Cyberkriminelle auf sensible Informationen wie Name, Alter, Geschlecht und Wohnsitz des Kindes sowie die IP-Adresse des per WLAN vernetzten Roboters zugreifen. Die Daten über das Kind werden den Angaben zufolge bei der Einrichtung abgefragt, sobald das Spielzeug im Rahmen der Inbetriebnahme mit einem Smartphone oder Tablet gekoppelt werde.
Kontaktaufnahme zu spielenden Kindern möglich
Darüber hinaus sei es Hackern über die anfällige Schnittstelle möglich, den gesamten Netzwerkverkehr zu überwachen und auf die Kamera und das Mikrofon des Roboters zuzugreifen, hieß es weiter. Angreifer können demnach heimlich Kontakt zu einem Kind aufnehmen, das mit dem Spielzeugroboter interagiert, und dieses zu einem riskanten Verhalten verleiten.
Weitere Sicherheitslücken in der zugehörigen Eltern-App ermöglichen es Angreifern, den Roboter mit einem eigenen Benutzerkonto zu verknüpfen, das Spielzeug aus der Ferne zu steuern und sich einen Zugriff auf das Netzwerk zu verschaffen. Möglich ist dies den Sicherheitsforschen zufolge etwa durch einen Brute-Force-Angriff auf ein sechsstelliges Einmalpasswort (OTP), da das zugrunde liegende System unbegrenzte Fehlversuche erlaubt.
Android-basierter Roboter mit KI
Um welchen Spielzeugroboter es sich genau handelt, wollte Kaspersky auf Nachfrage der Redaktion nicht beantworten - vermutlich aus Sicherheitsgründen. "Wir haben uns entschlossen, den Namen des Herstellers und Roboters nicht zu nennen. Ich kann Ihnen aber sagen, dass dieser in Deutschland einfach erhältlich ist - online und im Handel" , erklärte eine Sprecherin des Unternehmens.
Der Pressemitteilung zufolge handelt es sich um einen Roboter auf Android-Basis, der über eine eingebaute Videokamera und ein Mikrofon verfügt und Personen unter Einsatz künstlicher Intelligenz erkennen, mit ihnen interagieren und seine Reaktion an die Stimmung des Kindes anpassen kann. In einem ausführlichen Bericht(öffnet im neuen Fenster) erklärte Kaspersky außerdem, der Roboter verfüge über ein großes Farbdisplay und stelle eine Art "Tablet auf Rädern" dar.
An den Hersteller gemeldet wurden die Schwachstellen laut Kaspersky schon am 27. März 2023. Patches stehen den Angaben zufolge seit dem 18. August 2023 zur Verfügung.
"Viele Verbraucher nehmen an, dass ein höherer Preis für mehr Sicherheit steht. Doch auch das teuerste Smart Toy kann anfällig für Schwachstellen sein" , warnte Kaspersky-Sicherheitsforscher Nikolay Frolov. Er empfiehlt Eltern, smarte Spielzeuge sorgfältig auszuwählen, deren Software regelmäßig zu aktualisieren und ihre Kinder beim Spielen damit im Auge zu behalten.