Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Die Informationen könnten veraltet sein.
News vom 31.08.2017

Spione im Kinderzimmer

Ein Artikel von , veröffentlicht am 31.08.2017

Die Stiftung Warentest hat verschiedene „Smart Toys“ untersucht – und deren Umgang mit Daten heftig kritisiert. Keines der getesteten Produkte hat die Verbraucherschutz-Organisation am Ende überzeugt.

Sieben digital kommunizierende Spielzeuge für Kinder sowie die dazu gehörigen Apps hat die Stiftung Warentest unter die Lupe genommen. Im Fokus standen Datensicherheit und Daten-Sendeverhalten. Zu den Smart Toys gehörten ein Spielzeug-Roboter, ein Teddy, ein Roboter-Hund, ein Bär, ein Kätzchen, ein Dinosaurier und eine sprechende „Hello Barbie“. Die untersuchten Spielzeuge haben verschiedene Fähigkeiten und Funktionen: Sie empfangen Sprachnachrichten und -antworten, sie erzählen Geschichten, folgen Befehlen und spielen mit den Kindern.

Die Steuerung läuft über Apps für die mobilen Betriebssysteme Android und iOS. Es gibt einen steten Datenfluss, sowohl zwischen Spielzeug und App als auch zwischen App und den Datenbanken der Anbieter. Dabei werden beispielsweise Tondateien, aber auch persönliche Angaben übermittelt. Die Testerinnen und Tester hatten viel an den Produkten auszusetzen und schreiben unter anderem: „… insgesamt täuscht die niedliche Gestaltung der Spielzeuge darüber hinweg, dass sie mitunter wie Spione im Kinderzimmer agieren.“

Ungesicherte Verbindungen, laxer Passwort-Schutz

Bei drei Smart Toys war die Verbindung zwischen Spielzeug und Smartphone ungesichert. Beim Roboter-Spielkamerad i-Que könnte das beispielsweise bedeuten, dass ein fiktiver Nachbar in naher Umgebung per Bluetooth-Verbindung Kontakt aufnimmt – und i-Que dazu bringt, Nachrichten an das Kind zu übermitteln.

Kritisiert wurde zudem der durchgehend laxe Schutz von Passwort-Daten. Zwar werden die Passwörter auf dem Weg zum Server des Anbieters verschlüsselt, dort werden sie wohl aber im Klartext gespeichert. Vier Anwendungen übermitteln Geburtstag und Namen der Kinder an die Server, und drei Apps geben die Geräte-Identifikationsnummer des Smartphones an Dritt-Unternehmen weiter. Gelobt wird, dass einige Apps mit deutlich weniger Daten als andere auskommen. Da keine der Anwendungen einen ausreichend hohen Passwort-Schutz gewährleistet, wurden am Ende jedoch alle Apps als kritisch eingestuft.

Smart-Toy-Daten als Hacker-Beute?

Stiftung Warentest sieht verschiedene mögliche Bedrohungsszenarien. Durch die übermittelten Daten werden sowohl Kinder als auch Eltern zu gläsernen Usern, für die Werbewirtschaft und vielleicht auch für den bösen Nachbarn, der das Kind mit einfachen technischen Mitteln bespitzeln und manipulieren kann. Und für Hacker können die, auf den Servern der Spielzeugfirmen gespeicherten, Informationen hoch interessant sein.

In der Vergangenheit gab es bereits Fälle, bei denen Angreifer massenhaft Daten und Sprachaufzeichnungen aus Smart Toys gestohlen haben. Ende 2015 beispielsweise wurden, wie ein Hersteller einräumen musste, Daten von weltweit mehr als sechs Millionen Kinder-Profilen erbeutet. In Deutschland waren etwa 400.000 Eltern- und 500.000 Kinder-Accounts betroffen.

Weitere Artikel

Ratgeber 

NHS Covid-19 App: Großbritanniens Contact-Tracing-App kurz vorgestellt

Bei der britischen Contact-Tracing-App ist außer der Nutzung der Bluetooth-Technologie noch vieles offen. Die zentrale Datenspeicherung bringt technische Schwierigkeiten mit sich, inzwischen ist daher auch eine Anpassung der App auf die Schnittstelle von Google und Apple wieder im Spiel.

Mehr
Ratgeber 

Was Sie über die Google-Suche wissen sollten

Google ist die mit Abstand meistgenutzte Suchmaschine. Sie ist auf fast allen Android-Geräten vorinstalliert und in vielen Browsern Standard. Die guten Suchergebnisse sprechen für sie - doch was man sucht, wird von Google genau ausgewertet.

Mehr
Ratgeber 

Blue Mail-App im Test: Nicht empfehlenswert

Im Test der Version 1.9.3 übertrug die App das Passwort und den Nutzernamen von einem eingebundenen GMX-Konto TLS-verschlüsselt an Server von Blue Mail. Dies ist extrem problematisch, weil der Dienst damit theoretisch vollständigen Zugriff auf das eigene Mail-Konto haben kann. Update: In Version 1.9.4.2 ist das Problem behoben.

Mehr
YouTube-Video 

Video: So installieren Sie F-Droid

F-Droid ist der alternative App-Store für Android. Im Video führen wir Schritt für Schritt durch die Einrichtung.

Ansehen