VTech dicht beveiligingslekken in kindertablet

De VTech DigiGo-tablet voor kinderen bevatte drie kwetsbaarheden, ontdekte het Nederlandse beveiligingsbedrijf Securify. Kwaadwillenden hadden de mogelijkheid tekstberichten via de ingebouwde chatapplicatie te spoofen en browservensters te kapen.

VTech heeft de lekken na de melding door Securify gedicht. Het beveiligingsbedrijf trof de kwetsbaarheden aan in de DigiGo tijdens het IoT-hacking event Summer of Pwnage. VTech richt zich met de DigiGo-tablet op gebruik door kinderen van 4 tot en met 10 jaar. Met de tablet kunnen ze met hun ouders chatten, foto's maken en door ouders goedgekeurde sites bezoeken. De tablet is wereldwijd populair en wordt ook bij Nederlandse en Belgische speelgoedwinkels verkocht, voor ongeveer 80 euro.

De fabrikant belooft in de handleiding dat de tablet '100% veilig en eenvoudig in gebruik' is. "Als hackersbedrijf met veel vaders van jonge kinderen besloten we de proef op de som te nemen", meldt Sipke Mellema, information security advisor bij Securify. Na een analyse trof het bedrijf drie kwetsbaarheden aan.

De meeste impact heeft het lek in de DigiGo Kid Connect-app. Deze app voor chatsessies maakt gebruik van het Jabber-protocol en zet tls-certificate pinning in voor het opzetten van versleutelde verbindingen. Certificate pinning is bedoeld als bescherming tegen man-in-the-middle-aanvallen door alleen bepaalde certificaten voor bepaalde domeinen te accepteren. Bij de app van de VTech-tablet geldt dit voor de domeinen www.vtechda.com, kc-web.vtechda.com en pc-proxy.vtechda.com.

Securify ontdekte dat de app echter nog meer domeinen gebruikt voor de communicatie, en dat voor domeinen buiten de pinning-whitelist geen controle wordt uitgevoerd op het tls-certificaat. Dit maakt het mogelijk dat een man-in-the-middle de authenticatieprocedure kan kapen en chatberichten kan injecteren. Bij een proof-of-concept toonde het bedrijf aan dat zo bijvoorbeeld tekstberichten van ouders onderschept en aangepast kunnen worden. Met de Kid Connect app kunnen tekstberichten, foto's en tekeningen worden verstuurd naar andere DigiGo-apparaten of mobiele apparaten met Android of iOS.

Een tweede kwetsbaarheid betreft de browser. Deze controleert het tls-certificaat van websites niet, waardoor aan man-in-the-middle aanval altijd mogelijk is. Verder kunnen ouders via Parental Control websites die kinderen op de tablet mogen bezoeken aan een whitelist toevoegen. https-sites kunnen echter niet toegevoegd worden, waardoor de browser altijd de domeinen via een onbeveiligde verbinding zal benaderen. "Het is dus mogelijk de connectie bij de eerste request te kapen, zelfs als tls-certificaatcontrole geïmplementeerd zou zijn", aldus Securify.

Daarnaast is cross-site request forgery bij de browser mogelijk: aanvallers kunnen pagina's van de lokale webserver die de browser opzet voor domeinen op de whitelijst injecteren. Om de kwetsbaarheden te misbruiken moet een aanvaller wel op hetzelfde netwerk zitten als het kind met de DigiGo. Volgens Sipke Mellema is dat allang geen ondenkbaar risico meer: "Dat kan door het netwerk van je buren te hacken, het wachtwoord te raden of te kraken of op een andere manier, zoals met een Krack-exploit. En als iemand via een netwerk verbindt die je zelf beheert is het natuurlijk uit te buiten."

Ouders kunnen de firmware bijwerken via de Explor@ Park-applicatie van VTech. Het speelgoedbedrijf had in 2015 te maken met een enorm datalek, nadat een aanvaller persoonsgegevens van miljoenen ouders en kinderen in handen kreeg. Consumentenorganisaties waarschuwen al langer voor de risico's van met internet verbonden speelgoed.