VTech dicht beveiligingslekken in kindertablet

De VTech DigiGo-tablet voor kinderen bevatte drie kwetsbaarheden, ontdekte het Nederlandse beveiligingsbedrijf Securify. Kwaadwillenden hadden de mogelijkheid tekstberichten via de ingebouwde chatapplicatie te spoofen en browservensters te kapen.

VTech heeft de lekken na de melding door Securify gedicht. Het beveiligingsbedrijf trof de kwetsbaarheden aan in de DigiGo tijdens het IoT-hacking event Summer of Pwnage. VTech richt zich met de DigiGo-tablet op gebruik door kinderen van 4 tot en met 10 jaar. Met de tablet kunnen ze met hun ouders chatten, foto's maken en door ouders goedgekeurde sites bezoeken. De tablet is wereldwijd populair en wordt ook bij Nederlandse en Belgische speelgoedwinkels verkocht, voor ongeveer 80 euro.

De fabrikant belooft in de handleiding dat de tablet '100% veilig en eenvoudig in gebruik' is. "Als hackersbedrijf met veel vaders van jonge kinderen besloten we de proef op de som te nemen", meldt Sipke Mellema, information security advisor bij Securify. Na een analyse trof het bedrijf drie kwetsbaarheden aan.

De meeste impact heeft het lek in de DigiGo Kid Connect-app. Deze app voor chatsessies maakt gebruik van het Jabber-protocol en zet tls-certificate pinning in voor het opzetten van versleutelde verbindingen. Certificate pinning is bedoeld als bescherming tegen man-in-the-middle-aanvallen door alleen bepaalde certificaten voor bepaalde domeinen te accepteren. Bij de app van de VTech-tablet geldt dit voor de domeinen www.vtechda.com, kc-web.vtechda.com en pc-proxy.vtechda.com.

Securify ontdekte dat de app echter nog meer domeinen gebruikt voor de communicatie, en dat voor domeinen buiten de pinning-whitelist geen controle wordt uitgevoerd op het tls-certificaat. Dit maakt het mogelijk dat een man-in-the-middle de authenticatieprocedure kan kapen en chatberichten kan injecteren. Bij een proof-of-concept toonde het bedrijf aan dat zo bijvoorbeeld tekstberichten van ouders onderschept en aangepast kunnen worden. Met de Kid Connect app kunnen tekstberichten, foto's en tekeningen worden verstuurd naar andere DigiGo-apparaten of mobiele apparaten met Android of iOS.

Een tweede kwetsbaarheid betreft de browser. Deze controleert het tls-certificaat van websites niet, waardoor aan man-in-the-middle aanval altijd mogelijk is. Verder kunnen ouders via Parental Control websites die kinderen op de tablet mogen bezoeken aan een whitelist toevoegen. https-sites kunnen echter niet toegevoegd worden, waardoor de browser altijd de domeinen via een onbeveiligde verbinding zal benaderen. "Het is dus mogelijk de connectie bij de eerste request te kapen, zelfs als tls-certificaatcontrole geïmplementeerd zou zijn", aldus Securify.

Daarnaast is cross-site request forgery bij de browser mogelijk: aanvallers kunnen pagina's van de lokale webserver die de browser opzet voor domeinen op de whitelijst injecteren. Om de kwetsbaarheden te misbruiken moet een aanvaller wel op hetzelfde netwerk zitten als het kind met de DigiGo. Volgens Sipke Mellema is dat allang geen ondenkbaar risico meer: "Dat kan door het netwerk van je buren te hacken, het wachtwoord te raden of te kraken of op een andere manier, zoals met een Krack-exploit. En als iemand via een netwerk verbindt die je zelf beheert is het natuurlijk uit te buiten."

Ouders kunnen de firmware bijwerken via de Explor@ Park-applicatie van VTech. Het speelgoedbedrijf had in 2015 te maken met een enorm datalek, nadat een aanvaller persoonsgegevens van miljoenen ouders en kinderen in handen kreeg. Consumentenorganisaties waarschuwen al langer voor de risico's van met internet verbonden speelgoed.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Olaf van Miltenburg

Nieuwscoördinator

08-12-2017 • 13:15

28 Linkedin

Reacties (28)

Wijzig sortering
Is het niet eens tijd voor een keurmerk voor digitaal kinderspeelgoed?
Eentje met verplichte audit & penetration test?
Is lastig.
Speelgoed, wat vandaag veilig is, kan morgen zo lek zijn als een vergiet.
Hoe moet zo'n keurmerk daarmee overweg?

In dit geval ben ik eerder voor een keurmerk in de zin van een trackrecord.
Op 06-11-2017 veilig.
Op 07-12-2017 is een beveiligs probleem ondekt.
Op 10-12-2017 is het opgelost.

En dit per fabrikant, zodat wij als consument gemakkelijk kunnen zien, hoe snel een fabrikant reageerd en oplost. Het is wel eens waar geen harde garantie voor de toekomst.
Maar een 6 maanden gemiddeld over doet, kan ik links laten liggen.
De validiteit van een certificaat niet controleren is echter nooit veilig. Als je al niet voldoet aan beveiligingsstandaarden van 10 jaar geleden, dan is dat vind ik toch nog net ietsje erger dan dat je bij de release aan alle moderne beveiligingsstandaarden voldoet maar er achteraf dingen ontdekt worden.

Je bent nooit helemaal veilig, maar als het absoluut kinderspel ( ;) ) is om het ding binnen een half uur te kapen met een eenvoudige man in the middle attack is dat toch een significant lagere barrier to entry in vergelijking met een systeem dat gewoon fatsoeinlijk beveiligd is en dus veel moeilijker en more time-consuming is om in binnen te komen.
Net als bij een auto. Vooraf goed testen zodat er op dat moment een zeker basisniveau is. Daarna terugroepen bij problemen van een zekere ernst. Dat maakt dit soort speelgoed een stuk duurder, maar anders leg je de kosten achteraf bij de klant.
Misschien niet eens alleen speelgoed maar gewoon alles met een internetverbinding minimaal X jaar ondersteunen en voorzien van beveiligingsupdates. Kun je een veilige tablet hebben en een router die nooit een update heeft gekregen waardoor alsnog je hele internet netwerk toegankelijk is.
En hoe leer ik mijn kind dan het speelgoed van andere kinderen te hacken? :Y) ;)
Verplichte penetratie bij kinderen ligt gevoelig :+
Ooit gehoord van vaccinaties ;) :+
ligt nog steeds gevoelig bij de kids
Staat daar nou kutkind<h1>a op de eerste screenshot? :+
Nu niet meer iig. Een of andere snowflake heeft 't weggevaagd.
Inderdaad..... 8)7 Well Spotted.
_/-\o_ _/-\o_ _/-\o_ _/-\o_ _/-\o_

ik las er zo overheen........echt meesterlijk :)

en die "ouder" in dat chatbericht mag wel een cursus spelling krijgen :)

[Reactie gewijzigd door Pim0377 op 8 december 2017 13:23]

met veel vaders van jonge kinderen
Weet je ook hoe 1 daar denkt over z'n kind :+
Maar ik zie trouwens in de laatste screen ook "hax" staan, zal wel een van de Tweakers geweest zijn gok ik zo :')
Fonetisch de aanspreek naam van moeder...?
Geniaal, hahahaha _/-\o_ _/-\o_
"Kinder"-apparaten zijn oplichting. Ze bieden absoluut geen voordeel over een "volwassen" toestel met een dikke hoes eromheen.
Kindermarketing producten zijn dat. Die tablets staan ook in de speelgoedfolders maar goede specs of android updates worden altijd vergeten. 8)7 8)7
Maar is-ie nu ook beveiligd tegen een 'kid-in-the-middle' attack?
Geloof me, daar is niks tegen bestand (naar eigen ervaring met mijn 7-jarige dochter :+ )
"Enter your parent's CC numbers"

Alsof een kind weet wat een CC is.
Als je kind daarmee een spelletje kan spelen, dan weten ze dat voordat ze kunnen lezen helaas...
Alsof het een voorbeeld is....
Natuurlijk doen echte phishers er een plaatje bij met omcirkelt wat ze in moeten vullen.
Kinderen zijn slimmer dan jij denkt

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee