Smart Toys Wie vernetzte Spielkameraden Kinder aushorchen

Nicht geschützt gegen den Onkel-Trick

Tims neues Lieblings­spielzeug ist i-Que, ein internet­fähiger Roboter. „Hallo Tim“, sagt er, „soll ich dir ein Geheimnis verraten? Der Herr Maier nebenan hat total leckere Bonbons. Besuch ihn doch mal. Bestimmt gibt er dir einige.“ Das mit den Bonbons hat sich der Roboter nicht selbst ausgedacht. Es könnte von Nach­bar Maier stammen, der sein Smartphone mit dem Spielzeug verbunden und in die dazu­gehörige App geschrieben hat, was i-Que sagen soll. Er könnte sogar Tims Antworten abhören und fragen, ob seine Eltern gerade zu Hause sind. Möglich ist das, weil der Anbieter die Verbindung zwischen Smartphone und i-Que nicht gesichert hat.

Video: So einfach lassen sich die Smart Toys miss­brauchen

Video bei Youtube laden

Beim Laden des Videos erhebt Youtube Daten. Hier finden Sie die test.de-Datenschutzerklärung.

Ungesicherte Bluetooth-Verbindung machts möglich

Herr Maier muss weder ein Pass­wort noch einen Pin-Code eingeben. Er braucht keine Spezial­ausrüstung, Hacker­fähig­keiten oder physischen Zugriff auf den Roboter. Er kann einfach eine Bluetooth-Verbindung herstellen, solange er nicht mehr als etwa zehn Meter von i-Que entfernt ist. Das klappt mitunter auch durch Hauswände hindurch. Diese Sicher­heits­lücke ist brandgefähr­lich: Jeder Smartphone-Besitzer kann den Roboter kontrollieren, ihn als Wanze einsetzen, Fragen, Einladungen oder Drohungen an Tim richten und seine Antworten empfangen.

Von Roboflop zum Trojanerteddy

Dieser Roboter ist ein Flop. Zwei weitere der sieben vernetzten Spielzeuge, die wir geprüft haben, sind ebenfalls unsicher: Über den Toy-Fi-Teddy können sich Eltern und Kinder via Internet Sprach­nach­richten zuschi­cken. Der Problembär erlaubt aber auch jedem anderen in der Nähe befindlichen Smartphone-Besitzer, dem Kind Nach­richten zu senden und unter Umständen auch dessen Antworten abzu­hören.

Fern­gesteuerter Hund

Roboterhund Chip lässt sich ebenfalls mit jedem Smartphone kapern – sofern das Handy der Eltern nicht schon mit Chip verbunden ist. Der mögliche Schaden hält sich jedoch in Grenzen: Der Fremde kann Bewegungen des Hundes auslösen, aber nicht mit dem Kind kommunizieren.

Verbindungs­sicherheit und das Daten­sende­verhalten im Test

Wir haben nicht beur­teilt, wie pädagogisch sinn­voll, unter­halt­sam oder vielseitig die Spielzeuge sind. Uns ging es allein um die Verbindungs­sicherheit und das Daten­sende­verhalten: Wie ist die Verbindung zwischen Spielzeug und Smartphone geschützt? Welche Daten senden die Apps an wen? Sind diese für die Funk­tion der App notwendig? Werden die Informationen vor dem Versand verschlüsselt? Die Ergeb­nisse haben wir auf einer Skala von „unkritisch“ über „kritisch“ bis „sehr kritisch“ bewertet.

Der Spion, der mich liebte

Das Positive zuerst: Keine App sendet Daten ohne Trans­port­verschlüsselung, erfasst den Stand­ort oder die Adress­buch­einträge des Smartphones. Doch insgesamt täuscht die niedliche Gestaltung der Spielzeuge darüber hinweg, dass sie mitunter wie Spione im Kinder­zimmer agieren. Um mit den Kleinen zu kommunizieren, nehmen sie mit integrierten Mikrofonen auf, was ihre Besitzer sagen. Diese Tondateien werden oft via Internet an die Server der Anbieter geschickt und dort gespeichert. Mattel stellt Eltern sogar alle Aufnahmen von Barbie online zur Verfügung, sodass Mama und Papa das eigene Kind belauschen können.

Persönliche Daten gehen an Dritte

Keine der geprüften Apps fordert ein komplexes Pass­wort, etwa mit Sonderzeichen und Groß­schreibung. Alle Apps, die eine Anmeldung verlangen, verschlüsseln das Pass­wort zwar bei der Über­tragung zum Anbieter­server – es wird aber nicht „gehasht“, sprich zusätzlich codiert. Das heißt: Anbieter könnten es im Klar­text speichern, was im Falle eines Serverhacks den Angreifern die Arbeit erleichtern würde. Da die Zusatz­sicherung durch Hashing versäumt wurde, haben wir auch die daten­spar­sameren Apps als kritisch bewertet.

Sechs Anwendungen setzen Tracker ein

Vier Programme senden den Namen und den Geburts­tag des Kindes an Anbieter­server. Drei Apps über­tragen die Geräte-Identifikations­nummer des Smartphones an Dritte, zum Beispiel an Firmen wie Flurry, die auf Daten­analysen oder Werbung spezialisiert sind. Vier Anwendungen erfassen den Mobil­funkanbieter. Zwei kommunizieren mit Werbe­diensten von Google, sechs setzen Tracker (Test Tracking-Blocker, test 9/2017), die möglicher­weise das Surf­verhalten der Eltern protokollieren können.

Welche Apps lesen was aus?

Drei Apps betreiben „Fingerprinting“: Sie senden detaillierte Hard­ware-Profile des Smartphones, die es ermöglichen, Nutzer an ihrem Gerät wieder­zuerkennen. Die wichtigsten Informationen darüber, welche Apps was auslesen, stehen in den Einzel­kommentaren zu den sieben Toys (siehe Unter­artikel Kritisch und Sehr kritisch). Einige geprüfte Apps kommen mit sehr wenigen Nutzer­daten aus. Das zeigt: Der massive Daten­hunger mehrerer Apps wäre nicht notwendig. Die Spielzeuge könnten diverse Funk­tionen auch ohne persönliche Daten von Kindern und Eltern ausführen.

Kredit­unwürdig dank Teddy

Auf den ersten Blick wirken die über­mittelten Daten mitunter harmlos: Mit dem Namen des Mobil­funkanbieters, der Betriebs­system­version des Handys oder dem Geburts­tag des Kindes allein lässt sich wenig anstellen. Doch der Schein trügt: Erstens können solche Informationen bereits bestehende Kunden­profile ergänzen. Dadurch werden Eltern und Kinder zu gläsernen Nutzern, auf deren Hobbys und Lebens­umstände Online­werbung präzise zuge­schnitten werden kann. Zweitens könnten Scoring-Unternehmen Zugriff auf die Daten erhalten. Diese Firmen beur­teilen die finanzielle Lage von Menschen. Ihre teils intrans­parenten Bewertungen können etwa dazu führen, dass einem Nutzer Kredite verweigert werden.

Angreifer können Daten abfangen

Drittens zeigt das Beispiel des Roboters i-Que, dass auch Angreifer Daten abfangen können. Es reicht mitunter schon, in der Nähe des Kindes zu sein, um es zu bespitzeln. Auch bei der inzwischen verbotenen Puppe Cayla war das der Fall.

Auch Hacker lieben Spielzeug

Falls die Anbieter­server schlecht gesichert sind, dürften Hacker in der Lage sein, Nutzer­konten anzu­zapfen. Befinden sich Zahlungs­daten darunter, bekommen Eindringlinge womöglich die Chance, auf Kosten der Eltern einzukaufen. Im schlimmsten Fall kann ein Hacker auf Sprach­dateien zugreifen und darüber erfahren, wann sich ein Kind wo aufhält, um ihm aufzulauern.

Attacke auf VTech

Im November 2015 gelang Hackern ein Einbruch in Daten­banken des Smart-Toy-Anbieters VTech aus Hong­kong. Laut VTech waren allein in Deutsch­land rund 900 000 Nutzer betroffen. In den Kunden­konten standen unter anderem Namen und Geburts­tage von Kindern. Einer der gehackten Dienste von VTech ermöglicht es Eltern und Kindern, Fotos, Sprach- und Text­nach­richten online auszutauschen.

Sicher­heits­lücken bei Mattel?

Auch bei Mattel – einem der welt­weit größten Spielzeuganbieter – sollen bereits Sicher­heits­lücken aufgetreten sein. Matt Jakubowski, Spezialist für Cybersicherheit aus Chicago, war nach eigenen Angaben in der Lage, die Anbieter­server durch eigene Server zu ersetzen und so die Sprach­nach­richten von Kindern abzu­fangen, die mit ihrer Hello Barbie spielten. In einem weiteren Fall berichtete die IT-Sicher­heits­firma Rapid 7 aus Boston, dass Mitarbeiter online Namen und Geburts­tage von Kindern abgreifen könnten, die den Bären von Fisher-Price – einer Tochtergesell­schaft von Mattel – besitzen.

Lieber ein „dummer“ Teddy

Auf Fragen der Stiftung Warentest zur Barbie und zum Smart Toy Bear reagierte Mattel nicht. So „smart“ solche Teddys auch sein mögen: Ein nicht internet­fähiger, „dummer“ Teddy bleibt wohl auch in Zukunft die schlauere Wahl.