Das VTech KidiCom MAX wird als der „coole und sichere Messenger für Kinder“ beworben. Grund genug, das Gerät im Rahmen unseres Sicherheitstests in die Mangel zu nehmen und zu schauen, wieviel hinter der Werbebotschaft des vor allem für Spielzeug bekannten Konzerns steckt.

VTech musste viel einstecken, als im Dezember 2015 die Daten von 6,4 Millionen Kindern durch einen Hack offengelegt wurden. Unter anderem war auch das von diesem Gerät genutzte ‚Kid Connect‘ Messenger-System betroffen. Auch Daten von 4,9 Millionen Erwachsenen wurden veröffentlicht. Darin enthalten waren unter anderem die Wohnadresse, Vornamen, Geburtstage und Geschlecht der Kinder, sowie die Accountdaten der Eltern. Weiterhin soll der Angreifer auch Zugriff auf Fotos, Chatprotokolle und Audiodateien gehabt haben. VTech hatte sich im Folgenden mit der US-Handelsaufsicht auf eine Strafe von 650.000 US-Dollar geeinigt. Der ‚Kid Connect‘ Dienst wurde daraufhin von VTech komplett neu entwickelt. (vgl. CNBC 2015, Golem 2015)

Technische Daten

Das KidiCom MAX verfügt durch den SoC von MediaTek (MT8127, Erscheinungsdatum 01.06.2014) neben einem 32-bit Quadcore ARM-Prozessor, der auf maximal 1300Mhz taktet, über WLAN und Bluetooth 4.0. Weiterhin ist es mit 1GB RAM und 8GB Flash-Speicher ausgestattet und damit in die untere Mittelklasse einzuordnen. Außerdem ist eine nach vorn und hinten schwenkbare 2 MP Kamera verbaut, die im Standard Bilder mit einer Auflösung von 1024×600 Pixeln aufnimmt. Das mit einer Auflösung von 800×480 Pixeln auch zur Geräteklasse passende 5″-Display ist qualitativ für die vorinstallierten Apps ausreichend. Auf dem Gerät selbst ist Android 6.0 installiert, der Stand der Sicherheitsupdates ist vom 05. Oktober 2016.

VTech Kinder-Oberfläche

Software

Die Benutzeroberfläche des Kindertablets teilt sich in Kinder- und Elternbereich auf. Der Elternbereich ist mit einer vierstelligen PIN geschützt. Die PIN-Abfrage hat kein Rate Limiting implementiert, die 10.000 möglichen Kombinationen können daher, Geduld vorausgesetzt, problemlos durchprobiert werden.

Links PIN-Schutz, rechts Elternbereich

An die Geschwindigkeit des Geräts dürfen keine hohen Ansprüche gestellt werden. Vorinstallierte Apps werden nicht immer ruckelfrei dargestellt, im Rahmen des Tests wurden auch diverse Anzeigefehler, insbesondere bei viel Textinhalt, festgestellt. Auch eines der Kernfeatures – der Messenger – hat während unseres Tests nicht immer zuverlässig funktioniert, sondern teilweise auch Nachrichten nicht zugestellt. Dies deckt sich auch mit den Bewertungen im Google PlayStore beziehungsweise Apple AppStore.

Auf dem VTech KidiCom MAX können über den Elternbereich beliebige Android-Apps installiert werden. Die Installation des Amazon AppStores wird dort direkt angeboten. Weitere Apps können auch als APK-Datei installiert werden. Da sich das Gerät am PC als Wechseldatenträger anmeldet, können diese einfach darauf gespeichert und über einen beliebigen Dateimanager auf dem Tablet installiert werden. Hierbei geht der Kunde aber auch das Risiko ein, unbewusst Malware auf dem Gerät zu installieren. Schutz könnten hier Antivirus-Apps bieten, allerdings ist deren Auswahl im Amazon AppStore sehr begrenzt.

Von uns im Elternbereich installierte Drittanbieter-Apps

Durch das veraltete Android gibt es zahlreiche, von Apps ausnutzbare Schwachstellen. Daher können wir von der Installation von Apps aus unbekannten Quellen nur abraten.

Vorinstallierte Apps

Über Umwege sind wir auch an die auf dem Gerät vorinstallierten Apps gelangt und konnten uns so ein Bild von der Funktionsweise machen. Die wichtigsten der knapp 110 vorinstallierten Apps wurden einer statischen Analyse unterzogen, häufige Funktionen des Geräts im Rahmen einer dynamischen Analyse getestet. Wir beschränken uns im Folgenden nur auf die Auffälligkeiten.

Dateimanager-Ansicht zu den installierten Apps

Beim Hochfahren des Geräts lädt es über eine unverschlüsselte Verbindung zwei als JPG getarnte Zertifikatsdateien herunter. Diese werden im Anschluss im Rahmen des implementierten Certificate Pinnings genutzt. Im Rahmen eines Man-in-the-Middle-Angriffs wurde versucht, diese zu manipulieren, allerdings verweigerten Apps, wie beispielsweise der Messenger, dann den Dienst. Wir empfehlen dennoch, dieses Verfahren nach Stand der Technik weiter abzusichern.

Download als JPG getarnter Zertifikate

Sämtliche weitere, von uns aufgezeichnete Kommunikation ist TLS1.2-verschlüsselt und somit gegen einfache Angriffe geschützt. Durch die Implementation von Certificate Pinning waren Man-in-the-Middle-Angriffe nicht erfolgreich, selbst wenn wir über Umwege ein Zertifikat auf dem Gerät installierten.

Eltern-Apps

Die von VTech über die Appstores bereitgestellten Eltern-Apps müssen mindestens als verwirrend eingestuft werden. Zunächst einmal sind für denselben Dienst je Plattform (Android/iOS) zwei Apps verfügbar, die identische Funktionen bieten: „VTech KidiConnect“ und „VTech Kid Connect“. Allerdings wurden beide Apps jeweils nochmals für verschiedene Länder veröffentlicht, statt deren Sprache in eine einzige App zu integrieren. Hierdurch ergibt sich beim Blick z.B. in den Google PlayStore ein recht chaotisches Bild. Ähnlich sieht es im Apple AppStore aus, allerdings filtert dieser in Teilen auf die Region des Nutzers.

Google PlayStore für VTech Kid Connect

In der weiteren Analyse haben wir uns auf die deutsche Version der KidiConnect App beschränkt, da die Produktverpackung auf diese verweist. Im Rahmen der statischen Analyse konnten nur wenige Informationen aus der App extrahiert werden, da große Teile des Codes in Shared Object Files ausgelagert wurden. Für das Messaging wird XMPP genutzt, ein offenes Kommunikationsprotokoll. Die App kommuniziert ausschließlich TLS1.2 verschlüsselt, größtenteils mit Servern von VTech, weiterhin werden Tracker wie Bugfender angesprochen.

Datenschutz

Die allgemeine Datenschutzerklärung von VTech nimmt auch Bezug auf Kid Connect bzw. Kiddi Connect und somit auf das KidiCom MAX Kindertablet. Innerhalb Europas ist die VTECH Electronics Europe B.V. mit Sitz in den Niederlanden für die Datenverarbeitung verantwortlich. Der Kunde wird relativ ausführlich über viele datenschutzrelevante Themen informiert.

Personenbezogene Daten werden an den VTech Standorten wie Hongkong, China und den USA verarbeitet. Der Verarbeitung muss bei Kontoerstellung ein Erwachsener zustimmen. Auch auf dem Kindertablet selbst ist die Datenschutzerklärung verlinkt, hinter dem Link verbirgt sich im Kindermodus allerdings nur ein Hinweis, dass diese nur im Elternbereich einsehbar ist.

Aufgezeichnete Daten werden unter anderem für Forschung und Entwicklung genutzt, beispielsweise das Surfverhalten zum Zwecke der Marktforschung. Personenbezogene Daten werden weiterhin mit dem Gesamtkonzern geteilt, sind laut Datenschutzerklärung aber durch organisatorische und technische Maßnahmen im Zugriff beschränkt. Dienstleister erhalten ebenso Zugriff im erforderlichen Maß. Mit anderen Drittparteien werden nur statistische, anonymisierte Daten geteilt.

Insgesamt bleibt die Datenschutzerklärung oft recht allgemein, geht in vielen Punkten aber speziell auf die Daten von Kindern ein. Es fehlen allerdings Details zu den beispielsweise in der KidiConnect App eingesetzten Trackern.

Fazit

Das Kindertablet VTech KidiCom Max hat in unserem Test einige Punkte sammeln können. Insbesondere bei einem von Kindern benutzten Gerät müssen wir allerdings umso strenger mit Sicherheitsmängeln umgehen. Die stark veraltete Android-Version, der fehlende Brute-Force-Schutz für den Zugang zum Elternbereich sowie die Verarbeitung der Daten in Hongkong, China und den USA, unabhängig vom Wohnsitz des Kindes, führen dazu, dass wir nur einen von drei möglichen Punkten vergeben können.

Es fällt auf, dass VTech KidiConnect komplett umgebaut hat – es wurden gute Sicherheitskonzepte entwickelt. Die Umsetzung ist aber nicht immer konsequent durchgeführt worden.