Anzeige

Sonicare

Quelle: Grzegorz Czapski / Shutterstock.com

High-Tech-Geräte erfreuen sich nicht nur weiterhin steigender Popularität, sie verfügen auch über immer mehr Funktionen. Darunter auch solche, die nicht nur unnötig sind, sondern potenzielle Cyber-Risiken mit sich bringen.

Im Laufe der Jahre gab es schon eine Reihe von Bluetooth-Integrationen in Alltagsprodukte. Ein Beispiel sind Bluetooth-Zahnbürsten. Solche Neuerungen sind gut geeignet uns daran zu erinnern, dass nicht zwangsläufig jeder Haushaltsgegenstand vernetzt sein muss.

Eines dieser Geräte ist die Philips Sonicare für Kinder[1]. Sie ist mit einer Smartphone-App verbunden, die Kindern das Zähneputzen spielerisch nahebringen soll. Dabei hilft das betreffende Kind einem virtuellen „knuddeligen Wesen“ beim Zähneputzen. Aktiviert man die Zahnbürste, zeigt die App eine Animation wie man richtig Zähne putzt. Während des gesamten Spiels wird das Kind mit kleinen Geschenken und Leistungsanreizen belohnt. „Spielspaß statt Zahnputzfrust“ wie es der Hersteller nennt. Die App steigert zudem schrittweise die Dauer und Intensität beim Zähne bürsten, bis sich das Kind an die vollen zwei Minuten bei normaler Stärke gewöhnt hat.

Lädt man die App herunter, fordert sie als erstes Zugriff auf das lokale Dateisystem des Geräts. Ohne diesen Zugriff lässt sie sich gar nicht erst starten. Wenn man zusätzlich die Kamera verwendet, um ein Foto hochzuladen, muss man auch hier zunächst den Zugriff erlauben, um Bilder und Videos überhaupt aufnehmen zu können. Dabei bleibt unklar, ob der Speicherzugriff nur dazu dient, Fotos auf der SD-Karte wiederzufinden oder ob es möglicherweise eine andere Funktionalität gibt, die diesen Zugriff erfordert. 

Aber es geht noch weiter. Besonders besorgniserregend ist, dass die App das Kind auffordert, den Zugriff auf das Mikrofon zu erlauben. Eine Funktion der Sonicare ist ein bestimmter Modus, in dem das oben erwähnte Animationswesen dem Kind zuhört und das Gehörte anschließend mit einer lustigen Stimme wiederholt. Um diese Funktion zu steuern, erscheint ein Megaphon-Symbol. Wenn man die Funktion erstmals aktiviert, fragt Android den Benutzer, ob er den Zugriff auf das Mikrofon gestatten will. Obwohl das ein durchaus typisches Android-Verhalten ist, passt es definitiv nicht zu einer App für Kinder. Es gibt innerhalb der App zwar ein PIN-geschütztes Eltern-Dashboard. Aber in diesem konkreten Fall überlässt die App dem Kind die Entscheidung. Apps wie diese sollten von Anfang an transparent machen, wozu die jeweilige Berechtigung dient. Und sie sollten Eltern die Möglichkeit geben, jede Erlaubnis im Voraus zu akzeptieren oder zu verweigern. Ändert man die Einstellungen, sollte man das nur im PIN-geschützten Elternmodus tun und nie während die spielerische Animation läuft.

Abgesehen von den unvermeidlichen Problemen, die entstehen, wenn ein Kind beim Zähneputzen ständig auf einen Bildschirm schaut, hilft die App tatsächlich, Kinder für das Zähneputzen zu begeistern. Allerdings gibt es einige Mängel bei der Funktionsweise des Systems. Darunter auch mögliche technische Fehler. 

Die App selbst ist fehlerhaft: 

  • Sie lädt häufig ein falsches Profil.
  • Sie geht ständig davon aus, dass eine neue Zahnbürste verwendet wird. Was aber nicht der Fall ist. 
  • Die App funktioniert nicht, wenn zwei Zahnbürsten gleichzeitig und in räumlicher Nähe zueinander benutzt werden. 

Bei der Verwendung fließen dauerhaft Information in alle Richtungen: 

  • Wenn man die Zahnbürste benutzt bevor sie mit der App verbunden ist, dekrementiert das den Timer. 
  • Die App scheint auch die Dauer und Intensität des Putzvorgangs festzulegen, wenn sie vernetzt ist. 
  • Sie sendet zusätzliche BLE-Beacons, wenn eine der Tasten gedrückt wird. 

Die Begrenzungen der App öffnen zusätzlich einem eher trivialen Denial-Of-Service-Angriff die Türen. Ein Angreifer kann tatsächlich jemanden daran hindern, die App beim Zähneputzen zu verwenden. Selbst wenn das extrem unwahrscheinlich ist, bräuchte ein Angreifer dazu lediglich eine zweite Zahnbürste. Die App funktioniert nämlich nicht, wenn zwei Zahnbürsten in der Nähe eingeschaltet sind. Auch ohne verfügbare Zahnbürste, lässt sich das Bluetooth Low Energy (BLE)-Gerät wahrscheinlich mit leicht verfügbaren Tools fälschen. 

Das größere Risiko der Bluetooth-Schnittstelle ist aber ein anderes, nämlich die Offenlegung und Weitergabe von Informationen. Jedes Mal, wenn die Zahnbürste benutzt wird, ob mit oder ohne App, sendet sie Bluetooth-Beacons aus, die jeder in der Nähe mitverfolgen kann. Diese Beacons fungieren bei der Informationsweitergabe als Schwachstelle – und jeder außerhalb des Hauses kann herausfinden, wann sich wer im Haus die Zähne putzt. Das allein mag vielleicht weniger interessant sein. Aber schon ein einfaches Bluetooth-Protokollierungsgerät außerhalb des Hauses platziert, kann leicht erkennen, ob es im Haushalt regelmäßige Routinen gibt. Sicher, es handelt sich hier nicht um streng geheime Informationen, aber für einen potenziellen Einbrecher können sie durchaus wertvoll sein.

Die Inspektion der Bluetooth-Dienste legt möglicherweise noch weitere vertrauliche Informationen offen. Trotzdem ist es eher unwahrscheinlich, dass etwas von Interesse auf dem Gerät gespeichert ist. Abgesehen von der Gefahr offengelegter Informationen erhöhen die App-Berechtigungen zusammen mit der Bluetooth-Schnittstelle aber unzweifelhaft das Risiko einer weiteren Geräte-Kompromittierung. Wenn die App nicht alle eingehenden Daten sicher verarbeitet, kann ein Angreifer die Zahnbürste unter Umständen missbrauchen und darüber bösartige Nachrichten und Antworten versenden.

Die Wahrscheinlichkeit, mit der ein solcher Fall eintritt, hängt weitgehend davon ab, welche Daten, wenn überhaupt, von der Zahnbürste an die App übertragen werden. Aufgrund der Berechtigungen würde ein Angreifer dann auch auf den lokalen Speicher des Telefons und möglicherweise die Kamera und das Mikrofon zugreifen können. Android-App-Berechtigungen lassen sich potenziell von anderen Apps auf dem Gerät durch unbeabsichtigt freigelegte Intents oder Schwachstellen im Betriebssystem kapern. Und nicht zuletzt teilt die App Daten mit Facebook.

Diese Zahnbürste ist an sich kein großes Sicherheits- oder Datenschutzproblem, aber sie ist an verschiedenen kleinen Problemen beteiligt. Einige dieser Probleme sind grundlegend für das Design, während andere durch relativ einfache Maßnahmen entschärft oder beseitigt werden können. Vermutlich gibt es einen guten Grund, warum die App Zugriff auf den Gerätespeicher braucht. Wenn das der Fall ist, sollte der Benutzer das wissen, bevor er den Zugriff erlaubt.  Außerdem sollten die Berechtigungen im Voraus und zusammen mit zusätzlichen Informationen für Eltern erteilt werden können.

[1] Die App wurde seit der getesteten Version inzwischen, um unter anderem die Stabilität der Anwendung zu verbessern. In der vorliegenden Analyse ist das Update noch nicht berücksichtigt.

Craig Young, Sicherheitsforscher bei Tripwire, https://www.tripwire.com/


Artikel zu diesem Thema

Fitness-App
Dez 28, 2020

Smartphone-Apps senken Gesundheitsrisiken

Fitnessarmbänder und -uhren sowie Smartphone-Apps, die zu physischer Aktivität anregen,…
Cybercrime Code
Jun 09, 2020

Simulierte Cyberattacken: Übungen als Schutz vor Cyberrisiken?

Immer mehr IT-Abteilungen vertrauen auf Penetrationstests oder Bug-Bounty-Programme und…

Weitere Artikel

Cyber Security

Nur zwölf Prozent der Unternehmen haben SASE vollständig eingeführt

NetMotion, ein Anbieter von Sicherheitslösungen für die weltweit wachsende Zahl mobiler und aus der Ferne tätiger Arbeitskräfte, hat die Ergebnisse seiner ersten globalen SASE-Studie bekannt gegeben.
Asset Management

Wie Sicherheitsteams nicht sichtbare Assets aufdecken können

Fünf Fragen und Antworten wie Sicherheitsteams nicht sichtbare Assets aufdecken können, beantwortet von Todd Carroll, CISO/VP CyberOperations bei CybelAngel.
Microsoft Exchange

Stellen Sie kritische Systeme niemals ungeschützt ins Internet!

Die Angriffswelle auf Microsoft Exchange Server ist der zweite Security Super-GAU nach dem SolarWinds-Hack. Zehntausende Systeme in Deutschland sind davon betroffen und wurden vermutlich schon kompromittiert. Ein Kommentar von Wolfgang Kurz, CEO bei indevis.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.