De fabrikant achter de slimme teddybeer die 2,2 miljoen berichten van kinderen en ouders lekte blijkt ook de beveiliging van het speelgoed zelf niet op orde te hebben, aangezien het op een afstand van 30 meter door iedereen is af te luisteren. Dat ontdekten onderzoekers van beveiligingsbedrijf Context.

Het gaat om de teddyberen van speelgoedfabrikant CloudPets, dat onderdeel van Spiral Toys is. Kinderen kunnen via de teddybeer berichten naar bijvoorbeeld hun ouders sturen. Ouders kunnen via de CloudPets-app hier weer op antwoorden. Voor de communicatie tussen de teddybeer en smartphone wordt er van Bluetooth LE gebruikgemaakt. De meeste Bluetooth LE-apparaten maken hun aanwezigheid bekend door bepaalde pakketjes te versturen. Hierdoor kunnen bijvoorbeeld smartphones het apparaat vinden en er verbinding mee maken.

De teddybeer maakt echter van geen enkele Bluetooth-beveiligingsmaatregel gebruik. Het ondersteunt ook geen pairing. Iedereen kan dan ook met de teddybeer verbinding maken tot een afstand van 30 meter. "Dus iemand die buiten je huis staat kan eenvoudig met het speelgoed verbinding maken en audio-opnamen versturen en audioberichten van de microfoon ontvangen", zegt onderzoeker Paul Stone.

Stone is nog bezig met een onderzoek naar de firmware van de teddybeer. Die blijkt namelijk niet gesigneerd of versleuteld te zijn. Daardoor is het mogelijk de firmware van de teddybeer aan te passen en het speelgoed in een afluisterapparaat te veranderen. "Aangezien het al via de ingebouwde functionaliteit mogelijk is om het speelgoed als afluisterapparaat te gebruiken, valt er niet veel te winnen met het aanpassen van de firmware voor kwaadaardige doeleinden", merkt de onderzoeker op.

Het beveiligingsbedrijf probeerde de fabrikant van het speelgoed al sinds oktober vorig jaar te waarschuwen, maar ontving ondanks herhaaldelijke pogingen geen reactie. Aangezien er na 5 maanden nog steeds geen reactie kwam is besloten om in het publiek belang de problemen met de teddybeer openbaar te maken. Gebruikers krijgen het advies om het speelgoed uit te schakelen als het niet wordt gebruikt. Ook de onderzoekers die het datalek van de 2,2 miljoen berichten en 800.000 gebruikersaccounts ontdekten lukten het niet om een reactie te krijgen.

Rotzooi

Het Britse beveiligingsbedrijf Pen Test Partner gaat nog een stap verder en adviseert consumenten om het speelgoed in de vuilnisbak te gooien. Verder moeten gebruikers hun CloudPets-account verwijderen en daarna de app verwijderen. In het geval het wachtwoord ook op andere plekken is gebruikt moet het ook daar worden gewijzigd. Afsluitend heeft onderzoeker Ken Munro nog een advies. "Stop met het aanschaffen van Internet of Things-rotzooi." Onlangs besloten de Duitse autoriteiten de slimme speelgoedpop 'Cayla' te verbieden, aangezien die ook op afstand door derden was af te luisteren. Hieronder een demonstratie van hoe de teddybeer is "aan te vallen".