Text, Video

Das gehackte Dalek Einhorn am #34c3

By Barbara Wimmer on 1. Januar 2018 0 Comments

Das Einhorn-Spielzeug „CloudPets“ der Firma Spiral Toy wurde am Chaos Communication Congress aka #34c3 von mir im Talk „Internet of Fails“ als eines der „unsichersten vernetzten Spielzeuge“, die sich derzeit am Markt befinden, hergezeigt. Ich hatte darauf gehofft, dass jemand sich nach dieser Ansage mit meinem Spielzeug spielt.

Mit dem vernetzten Einhorn lassen sich Nachrichten aufnehmen, die Kinder abrufen können, wenn sie auf die Pfote rechts drücken. Mit der Pfote links können Kinder selbst Nachrichten senden. Ich hatte vor dem Talk die Nachricht „Hallo, Chaos Communication Congress!“ aufgenommen und während des Talks abgespielt. Den Vortrag selbst (in dem es nicht nur um vernetztes Spielzeug geht) könnt ihr übrigens hier nachsehen. Gebloggt habe ich darüber auch ein bisschen etwas.

Im Anschluss an den Talk (die Entfernung der Reihen und des Speaker-Pults waren zu weit entfernt, um es bereits während des Vortrags durchzuführen) wurde mein Einhorn innerhalb von einer Minute umprogrammiert: In ein Dalek-Einhorn. Hier hört ihr, was es jetzt sagt und warum es jetzt ein Dalek-Einhorn ist!
[youtube https://www.youtube.com/watch?v=YI0cpDY13L4&w=560&h=315]

Die Details zum Hack sind bereits seit längerem bekannt. Die Nachrichten werden via Bluetooth-Verbindung auf das vernetzte Spielzeug übertragen – normalerweise per App, bei der Fremd-Übernahme über den Chrome-Browser. Wen es interessiert, wie der Hack genau funktioniert, es gibt dazu ebenfalls eine Anleitung auf YouTube.
[youtube https://www.youtube.com/watch?v=5pQt6Aa3AVs&w=560&h=315]

Ich halte es daher mit vernetztem Spielzeug genauso, wie es die „Stiftung Warentest“ empfiehlt: Ein „dummes“ Spielzeug ist vielleicht auch in Zukunft die schlauere Wahl!

PS: Der Firma Spiral Toy sind laut dem US-Sicherheitsexperten Troy Hunt bereits vor knapp einem Jahr 2,2 Millionen aufgenommene CloudPets-Sprachnachrichten von rund 820.000 registrierten Anwendern abhanden gekommen. Die betroffenen Nutzer wurden damals von der Firma Spiral Toy aber nicht informiert.

Leave a comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert