Hinweis zu Affiliate-Links: Alle Produkte werden von der Redaktion unabhängig ausgewählt. Im Falle eines Kaufs des Produkts nach Klick auf den Link erhalten wir ggf. eine Provision.

Forscher haben neue Sicherheitslücken in der sprechenden Hello Barbie gefunden

von Benedikt Plass-Fleßenkämper
Die vernetzte und sprechende Spielzeugpuppe Hello Barbie musste  bereits reichlich Kritik einstecken. Das dürfte sich so schnell auch nicht ändern: Forscher der US-Sicherheitsfirma Somerset Recon haben neue Sicherheitslücken im System der Puppe entdeckt. Die Interaktiv-Barbie selbst bezeichnen sie zwar als „relativ sicher“, doch Server und Website des für die Software zuständigen Anbieters ToyTalk seien für Hacker ein leichtes Ziel, so die Datenspezialisten in ihrem Bericht. 

Bereits Ende November 2015 haben Experten Sicherheitslücken in der mit WLAN und Mikrofon ausgestatteten Hello Barbie nachgewiesen. Nun stehen Spielzeuganbieter Mattel und dessen Software-Partner ToyTalk erneut in der Kritik. Wie Mitarbeiter des in San Diego ansässigen Sicherheitsunternehmens Somerset Recon in einem  Report ausführlich beschrieben, haben sie insgesamt 14 Sicherheitslecks in ToyTalks Webservice ausmachen können. Zehn davon wurden als „niedrig“ eingestuft, vier als „mittel“. Sieben der gefundenen Sicherheitslücken seien mittlerweile behoben worden.

Der schwerwiegendste Fehler betreffe den Passwortschutz der Hello Barbie: Die Mitarbeiter von Somerset Recon hätten es in ihren Tests geschafft, auf der ToyTalk-Website „unendlich viele“ Eingabeversuche für Kennwörter durchzuführen, ohne vom System gesperrt zu werden. Die Passwörter müssten zwar aus acht Buchstaben bestehen, würden aber keine weiteren Symbole wie Nummern erfordern, was die Erfolgschancen von Hackern deutlich erhöhe, sich in den Account von Eltern einloggen zu können. Im schlimmsten Fall könnten sich Angreifer so persönliche Informationen beschaffen – zum Beispiel Sprachaufnahmen der mit der Puppe kommunizierenden Kinder. 

Weiterhin stießen die Forscher auf Sicherheitslücken hinsichtlich der E-Mail-Adressen der registrierten Barbie-Besitzer. Es sei beispielsweise ohne weiteres möglich, aus dem System heraus böswillige Phishing-Mails zu versenden. Zudem würden diverse mit Hello Barbie verknüpfte Webseiten von ToyTalk unverschlüsselte Kommunikation erlauben. Laut Somerset Recon hätte ToyTalk „deutlich mehr für die Sicherheit unternehmen können, bevor das Produkt veröffentlicht wurde“.

Hello Barbie ist seit dem Weihnachtsgeschäft 2015 in den USA für umgerechnet etwa 68 Euro erhältlich. Datenschützer und besorgte Eltern kritisierten bereits seit der Ankündigung der sprechenden Barbie auf der New Yorker Spielzeugmesse 2015, dass sie die Privatsphäre von Kindern verletze und für Überwachung im Kinderzimmer sorge. Das brachte Hello Barbie unter anderem den Negativpreis „Big Brother Award“ des Datenschutzvereins Digitalcourage ein. 

GQ Empfiehlt