Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

VTech dicht beveiligingslekken in kindertablet

De VTech DigiGo-tablet voor kinderen bevatte drie kwetsbaarheden, ontdekte het Nederlandse beveiligingsbedrijf Securify. Kwaadwillenden hadden de mogelijkheid tekstberichten via de ingebouwde chatapplicatie te spoofen en browservensters te kapen.

VTech heeft de lekken na de melding door Securify gedicht. Het beveiligingsbedrijf trof de kwetsbaarheden aan in de DigiGo tijdens het IoT-hacking event Summer of Pwnage. VTech richt zich met de DigiGo-tablet op gebruik door kinderen van 4 tot en met 10 jaar. Met de tablet kunnen ze met hun ouders chatten, foto's maken en door ouders goedgekeurde sites bezoeken. De tablet is wereldwijd populair en wordt ook bij Nederlandse en Belgische speelgoedwinkels verkocht, voor ongeveer 80 euro.

De fabrikant belooft in de handleiding dat de tablet '100% veilig en eenvoudig in gebruik' is. "Als hackersbedrijf met veel vaders van jonge kinderen besloten we de proef op de som te nemen", meldt Sipke Mellema, information security advisor bij Securify. Na een analyse trof het bedrijf drie kwetsbaarheden aan.

De meeste impact heeft het lek in de DigiGo Kid Connect-app. Deze app voor chatsessies maakt gebruik van het Jabber-protocol en zet tls-certificate pinning in voor het opzetten van versleutelde verbindingen. Certificate pinning is bedoeld als bescherming tegen man-in-the-middle-aanvallen door alleen bepaalde certificaten voor bepaalde domeinen te accepteren. Bij de app van de VTech-tablet geldt dit voor de domeinen www.vtechda.com, kc-web.vtechda.com en pc-proxy.vtechda.com.

Securify ontdekte dat de app echter nog meer domeinen gebruikt voor de communicatie, en dat voor domeinen buiten de pinning-whitelist geen controle wordt uitgevoerd op het tls-certificaat. Dit maakt het mogelijk dat een man-in-the-middle de authenticatieprocedure kan kapen en chatberichten kan injecteren. Bij een proof-of-concept toonde het bedrijf aan dat zo bijvoorbeeld tekstberichten van ouders onderschept en aangepast kunnen worden. Met de Kid Connect app kunnen tekstberichten, foto's en tekeningen worden verstuurd naar andere DigiGo-apparaten of mobiele apparaten met Android of iOS.

Een tweede kwetsbaarheid betreft de browser. Deze controleert het tls-certificaat van websites niet, waardoor aan man-in-the-middle aanval altijd mogelijk is. Verder kunnen ouders via Parental Control websites die kinderen op de tablet mogen bezoeken aan een whitelist toevoegen. https-sites kunnen echter niet toegevoegd worden, waardoor de browser altijd de domeinen via een onbeveiligde verbinding zal benaderen. "Het is dus mogelijk de connectie bij de eerste request te kapen, zelfs als tls-certificaatcontrole geïmplementeerd zou zijn", aldus Securify.

Daarnaast is cross-site request forgery bij de browser mogelijk: aanvallers kunnen pagina's van de lokale webserver die de browser opzet voor domeinen op de whitelijst injecteren. Om de kwetsbaarheden te misbruiken moet een aanvaller wel op hetzelfde netwerk zitten als het kind met de DigiGo. Volgens Sipke Mellema is dat allang geen ondenkbaar risico meer: "Dat kan door het netwerk van je buren te hacken, het wachtwoord te raden of te kraken of op een andere manier, zoals met een Krack-exploit. En als iemand via een netwerk verbindt die je zelf beheert is het natuurlijk uit te buiten."

Ouders kunnen de firmware bijwerken via de Explor@ Park-applicatie van VTech. Het speelgoedbedrijf had in 2015 te maken met een enorm datalek, nadat een aanvaller persoonsgegevens van miljoenen ouders en kinderen in handen kreeg. Consumentenorganisaties waarschuwen al langer voor de risico's van met internet verbonden speelgoed.

Door

Nieuwscoördinator

28 Linkedin Google+

Reacties (28)

Wijzig sortering
Is het niet eens tijd voor een keurmerk voor digitaal kinderspeelgoed?
Eentje met verplichte audit & penetration test?
Is lastig.
Speelgoed, wat vandaag veilig is, kan morgen zo lek zijn als een vergiet.
Hoe moet zo'n keurmerk daarmee overweg?

In dit geval ben ik eerder voor een keurmerk in de zin van een trackrecord.
Op 06-11-2017 veilig.
Op 07-12-2017 is een beveiligs probleem ondekt.
Op 10-12-2017 is het opgelost.

En dit per fabrikant, zodat wij als consument gemakkelijk kunnen zien, hoe snel een fabrikant reageerd en oplost. Het is wel eens waar geen harde garantie voor de toekomst.
Maar een 6 maanden gemiddeld over doet, kan ik links laten liggen.
De validiteit van een certificaat niet controleren is echter nooit veilig. Als je al niet voldoet aan beveiligingsstandaarden van 10 jaar geleden, dan is dat vind ik toch nog net ietsje erger dan dat je bij de release aan alle moderne beveiligingsstandaarden voldoet maar er achteraf dingen ontdekt worden.

Je bent nooit helemaal veilig, maar als het absoluut kinderspel ( ;) ) is om het ding binnen een half uur te kapen met een eenvoudige man in the middle attack is dat toch een significant lagere barrier to entry in vergelijking met een systeem dat gewoon fatsoeinlijk beveiligd is en dus veel moeilijker en more time-consuming is om in binnen te komen.
Net als bij een auto. Vooraf goed testen zodat er op dat moment een zeker basisniveau is. Daarna terugroepen bij problemen van een zekere ernst. Dat maakt dit soort speelgoed een stuk duurder, maar anders leg je de kosten achteraf bij de klant.
Misschien niet eens alleen speelgoed maar gewoon alles met een internetverbinding minimaal X jaar ondersteunen en voorzien van beveiligingsupdates. Kun je een veilige tablet hebben en een router die nooit een update heeft gekregen waardoor alsnog je hele internet netwerk toegankelijk is.
En hoe leer ik mijn kind dan het speelgoed van andere kinderen te hacken? :Y) ;)
Verplichte penetratie bij kinderen ligt gevoelig :+
Ooit gehoord van vaccinaties ;) :+
ligt nog steeds gevoelig bij de kids
Staat daar nou kutkind<h1>a op de eerste screenshot? :+
Nu niet meer iig. Een of andere snowflake heeft 't weggevaagd.
Inderdaad..... 8)7 Well Spotted.
_/-\o_ _/-\o_ _/-\o_ _/-\o_ _/-\o_

ik las er zo overheen........echt meesterlijk :)

en die "ouder" in dat chatbericht mag wel een cursus spelling krijgen :)

[Reactie gewijzigd door Pim0377 op 8 december 2017 13:23]

met veel vaders van jonge kinderen
Weet je ook hoe 1 daar denkt over z'n kind :+
Maar ik zie trouwens in de laatste screen ook "hax" staan, zal wel een van de Tweakers geweest zijn gok ik zo :')
Fonetisch de aanspreek naam van moeder...?
Geniaal, hahahaha _/-\o_ _/-\o_
"Kinder"-apparaten zijn oplichting. Ze bieden absoluut geen voordeel over een "volwassen" toestel met een dikke hoes eromheen.
Kindermarketing producten zijn dat. Die tablets staan ook in de speelgoedfolders maar goede specs of android updates worden altijd vergeten. 8)7 8)7
Maar is-ie nu ook beveiligd tegen een 'kid-in-the-middle' attack?
Geloof me, daar is niks tegen bestand (naar eigen ervaring met mijn 7-jarige dochter :+ )
"Enter your parent's CC numbers"

Alsof een kind weet wat een CC is.
Als je kind daarmee een spelletje kan spelen, dan weten ze dat voordat ze kunnen lezen helaas...
Alsof het een voorbeeld is....
Natuurlijk doen echte phishers er een plaatje bij met omcirkelt wat ze in moeten vullen.
Kinderen zijn slimmer dan jij denkt

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*