• IT-Karriere:
  • Services:

Security: Bug Bounty für Barbie-Puppen

Nicht nur Vtech-Spielzeug ist unsicher: Die umstrittene WLAN-Barbie von Mattel hält es mit der Sicherheit ebenfalls nicht so genau. Ein Hacker konnte aus der Puppe zahlreiche Informationen auslesen - und glaubt, auch die Serveranbindung manipulieren zu können.

Artikel veröffentlicht am ,
Die WLAN-Barbie spricht nicht nur mit Kindern - sondern gibt auch zahlreiche Daten preis.
Die WLAN-Barbie spricht nicht nur mit Kindern - sondern gibt auch zahlreiche Daten preis. (Bild: Mattel)

Der Sicherheitsforscher Matthew Jackubowski hat im Auftrag des US-Fernsehsenders NBC die neue Barbie-Puppe mit WLAN und Sprachfunktion auf Sicherheitslücken untersucht. Die derzeitigen Sicherheitsmaßnahmen scheinen geübte Angreifer nicht vor große Probleme zu stellen - Mattel hat daher angekündigt, ein Bug-Bounty-Programm für die Puppe zu starten.

Stellenmarkt
  1. Prodatic-EDV-Konzepte GmbH, Wermelskirchen
  2. Allianz Deutschland AG, München, Unterföhring

Der Beitrag liefert wenig technische Details. Doch Jackubowski gab an, dass er aus der Barbie neben der Mac-Adresse, den Account-IDs und dem WLAN-Namen auch lokal gespeicherte MP3-Dateien habe auslesen können. Die Informationen seien ausreichend, um sich nach einer Analyse der Puppe mit dem WLAN-Netzwerk der Eigentümer zu verbinden, sagt er. Außerdem sei es vermutlich möglich, die Server, mit denen die Puppe kommuniziert, zu ändern - und so das Kommunikationsverhalten des Spielzeuges zu manipulieren. "Dann könnten wir sie alles sagen lassen, was wir wollen", sagte er zu NBC.

Hersteller räumt Sicherheitslücken ein und bestreitet deren Relevanz

Ein Sprecher der Firma Toy Talk, die die Technik der Puppe im Auftrag von Mattel entwickelt, räumt zwar ein, dass die Puppe gehackt werden könne. "Doch in diesem Fall würden die Informationen nicht ausreichen, um ein Kind zu identifizieren. Außerdem wären keine Audioaufzeichnungen von Kindern betroffen."

Die Puppe ist ohnehin umstritten - denn Eltern könnten über eine App die Gespräche ihrer Kinder mithören. Die Professorin Lori Andres warnte davor, dass das Unternehmen in den AGB darauf hinweist, dass es die Behörden alarmieren könnte, wenn durch "eine Unterhaltung Bedenken hinsichtlich der Sicherheit des Kindes oder anderer" entstünden.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Immer mehr Kinderspielzeug verfügt über vermeintlich smarte Funktionen - doch die meisten Hersteller scheinen derzeit mit den notwendigen Sicherheitsmaßnahmen schlicht überfordert - wie auch das Beispiel Vtech zeigt. Dass Mattel jetzt über ein Bug-Bounty-Programm externe Expertise einbinden will, ist zu begrüßen. Wie viel Geld Mattel für gefundene Sicherheitslücken auszahlen will, ist bislang nicht bekannt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. LG OLED65CX9LA 65 Zoll OLED 120Hz für 1.799€, Sony KE-85XH9096 85 Zoll LED für 1...
  2. 745€ (Bestpreis)
  3. (u. a. John Wick Hex für 8,99€, Farmer's Dynasty für 11,99€, The Whispered World Special...
  4. (u. a. Leet Desk Pro 140 x 70cm Leet Orange für 494,96€)

Peter Brülls 03. Dez 2015

Das ist es auch und meiner Ansicht nach ist das auch nicht zulässig, sondern ein Versto...


Folgen Sie uns
       


Surface Duo - Fazit

Das Surface Duo ist Microsofts erstes Smartphone seit Jahren - und ein ungewöhnliches dazu. Allerdings ist das Gerät in Deutschland viel zu teuer.

Surface Duo - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /