Speelgoedmaker VTech ligt voor de tweede keer binnen een week onder vuur van veiligheidsexperts. Ditmaal zouden de kindertablets van de Innotab-serie de privacy van gebruikers onvoldoende beveiligen.
Innotab kindertablet
De Innotab tablet is getest door Engelse security-experts van Pen Test Partners. Zij hebben onthuld dat het makkelijk is om achter privégegevens op de tablet te komen, zelfs als die al zijn gewist omdat de tablet bijvoorbeeld verkocht of weggegeven is aan een ander. Wachtwoorden, pincodes, emailadressen, app-gegevens en nog meer gegevens zijn allemaal potentieel benaderbaar door hackers en andere kwaadwillenden, omdat de tablet geen ingebouwde encrytie heeft.
Gegevens niet versleuteld
Deze versleuteling van gegevens staat op de laatste generaties Androidtablets standaard aan. Het probleem met de Innotab huist echter ook in de hardware, niet alleen in de gebruikte software. De tablet loopt op een RockChip-processor, die het toelaat dat data wordt afgelezen als het apparaat is vastgelopen of zelfs geheel onbruikbaar is geworden. Alle genoemde gegevens kunnen dan eenvoudig worden bekeken.
Android 4.1.1
De veiligheidsonderzoekers van Pen Test Partners konden via een usb-kabel achter al die gegevens komen. De Innotab loopt op Androidversie 4.1.1, maar heeft een zware, kindvriendelijke softwareschil om dit besturingssysteem heen gedrapeerd.
‘Bug al twee jaar bekend’
“Deze bug is al twee jaar algemeen bekend”, meldt een van de veiligheidsonderzoekers. “Het is nogal stom van VTech om deze kwetsbare tablets te blijven verkopen, tablets die de gegevens van kinderen blootstellen. De meeste andere Androidtablets bieden tenminste de mogelijkheid om de gegevens te versleutelen, zelfs de goedkope.”
Developer modus
Als klap op de vuurpijl vonden de mensen van Pen Test Partners nog een gevaar: het is makkelijk om het apparaat in ‘developer modus’ te zetten, waardoor eenvoudig toegang tot de root kon worden verkregen. En er bleek tot slot bij het uit elkaar halen van de tablet een micro sd-kaart op het moederbord geplakt te zijn, die er eenvoudig was af te halen. Op die sd-kaart bevonden zich ook allerlei gebruikersgegevens. “Dat is vragen om problemen”, luidt het oordeel van Pen Test Partners.
Tweede grote lek
VTech is wereldwijd reeds in opspraak geraakt vanwege een hack waarbij gegevens van vijf miljoen jonge gebruikers en hun ouders te grabbel zijn gegooid. In Nederland zijn de accounts van 100.000 ouders en 124.000 kinderen op deze manier blootgesteld aan toegang door kwaadwillenden.
Reacties (2)