Hacker kan speelgoedpop Cayla alles laten zeggen tegen kinderen

Connected speelgoed

Geweldig, een pop die antwoorden geeft op vragen van kinderen. Maar die pop is verbonden met internet en dus kwetsbaar voor hackers. „Speelgoedfabrikanten hebben nog weinig kaas gegeten van IT.”

Lieve grote poppenogen, blond haar en een roze balletrokje. Speelgoedpop ‘My Friend Cayla’ heeft op het eerste gezicht weinig kwaads in de zin. Ze moet een „beste vriendin” zijn voor kinderen en praten over hobby’s, huisdieren en haar favoriete eten. Als je haar aansluit op internet kan ze ook moeilijkere vragen beantwoorden over zaken als aardrijkskunde. Maar in een video gepubliceerd door de Britse beveiligingsexpert Ken Munro zegt Cayla ineens „Merry bloody Christmas” in de camera – met dezelfde stralende glimlach als altijd.

Wat is er aan de hand? Cayla is te hacken; wie de expertise heeft kan via bluetooth de pop van alles laten zeggen tegen een kind. Zo wordt de privacy geschaad van kinderen, de meest kwetsbare groep gebruikers.

Vorige maand werd bekend dat Blokker Holding – eigenaar van speelgoedwinkels Intertoys en Bart Smit – Cayla voorlopig uit de verkoop haalt, tot blijkt dat de fabrikant de privacy voldoende waarborgt. Europese consumentenorganisaties hadden aan de bel getrokken nadat uit onderzoek van de Noorse consumentenbond bleek dat hackers kinderen via het speelgoed kunnen afluisteren. Bovendien wordt alles wat kinderen tegen Cayla zeggen, doorgestuurd naar een Amerikaans bedrijf gespecialiseerd in spraakherkenning. Waarschijnlijk voor betere gesprekken tussen kinderen en de pop, zonder dat de meeste ouders op de hoogte zijn.

Connected speelgoed

Twee jaar geleden ontdekte Ken Munro al dat je simpel kan ‘inbreken’ bij Cayla. Ondanks aandacht van Britse media bleef de pop op de markt. Een woordvoerder van Blokker zegt dat het concern niet op de hoogte was: het zou pas van de gebreken weten sinds de waarschuwing van consumentenbonden vorige maand.

Cayla is ‘connected’ speelgoed, in dat genre is er steeds meer te kiezen voor ouders. Het Britse bureau Juniper Research schat dat de jaarlijkse omzet in met internet verbonden speelgoed stijgt van 2,7 miljard euro in 2015 naar 10,7 miljard in 2020.

Zo is er de knuffel Talki. Ouders en vrienden kunnen op afstand met hun smartphone berichten sturen naar Talki; die spreekt de boodschap daarna uit aan het kind.

Fabrikant Fisher Price heeft een slimme beer die ‘onthoudt’ wat je kind zegt voor betere gesprekken. Slimme kinderhorloges laten met gps zien waar kinderen uithangen.

Ook zijn er ‘beeldbabyfoons’, waarmee ouders op afstand kunnen praten tegen baby’s. De apparaten bevatten ook een repertoire aan slaapliedjes en tot vier op afstand bestuurbare camera’s voor in de kinderkamer. De beelden kunnen ouders op de smartphone bekijken.

Wifi is probleem

Waar klassieke babyfoons werken met een lokaal radionetwerk, geven deze babyfoons de informatie door via wifi. Met huis-tuin-en-keuken-apparaten die met internet worden verbonden, loop je een risico, zegt hoogleraar computerveiligheid Michel van Eeten (TU Delft). Dat soort spullen worden volgens hem steeds vaker bestookt door hackers.

Je moet er bij Cayla niet aan denken dat een pedofiel aan digitaal kinderlokken gaat doen met zo’n pop, zegt expert Munro. „Of dat dieven meeluisteren of het stil wordt in huis, om toe te slaan als iedereen naar bed is.”

Fabrikanten van goedkopere apparaten hebben volgens hoogleraar Van Eeten „te weinig prikkels” om de beveiliging op orde te krijgen en houden. Met updates zouden ze bijvoorbeeld programmeerfouten in de software kunnen herstellen zodat hackers niet via een ‘achterdeurtje’ kunnen binnentreden, maar dat gebeurt te weinig. „Fabrikanten zien het als weggegooid geld”, zegt Van Eeten. „Het product is verkocht, het geld is binnen. Vaak hebben fabrikanten ook weinig kaas gegeten van IT.”

In 2015 werd de Chinese fabrikant Vtech – dat computers en tablets voor kinderen maakt – gehackt. Een hacker kon bij gegevens van miljoenen kinderen en ouders, net als de voor de accounts gemaakte profielfoto’s van kinderen. De Amerikaanse site Vice, die als eerste over het lek publiceerde, schreef dat de hacker aandacht wilde vragen voor de slechte beveiliging bij het bedrijf.

Criminele activiteiten

Volgens Van Eeten is de kans dat het een hacker specifiek om kinderen te doen is, nog klein. Gehackte apparaten worden volgens hem vooral voor criminele activiteiten gebruikt. Bijvoorbeeld DDOS-aanvallen: er wordt zoveel internetverkeer naar een server of site gestuurd dat deze vastloopt. Daarvoor wordt een netwerk van duizenden – soms honderdduizenden – gehackte laptops en andere slimme apparaten gebruikt. Sites als Twitter, Spotify, Netflix en Airbnb werden in oktober bij één grote aanval deels platgelegd. In totaal werden vorig jaar bijna achtduizend DDOS-aanvallen geregistreerd door het Europese onderzoeksbureau Security Operations Center.

Maar er zijn wel degelijk voorbeelden van hackers die wél kwaad willen met individuen. Sommige criminelen zijn geïnteresseerd in persoonsgegevens van kinderen, om ze te gebruiken voor identiteitsfraude. En enkele jaren geleden werd een destijds achttienjarige Rotterdammer veroordeeld voor het op afstand inbreken bij minimaal tweeduizend computers. Hij zette onder meer webcams van tienermeisjes aan om ze te bespieden.

Mede door de DDOS-aanvallen willen steeds meer beleidsmakers fabrikanten verplichten de beveiliging te verbeteren van ‘slimme’ producten als speelgoed. Zowel de Europese Commissie als het Nederlandse ministerie van Economische zaken doen daar nu onderzoek naar. D66 wil een keurmerk voor de beveiliging van slimme apparaten.

Als het in de huidige situatie misloopt, staan consumenten niet sterk in de rechtszaal, zegt hoogleraar Van Eeten. „De fabrikant is alleen aansprakelijk als er grote fysieke of economische schade is. Als video’s van een kinderkamer op internet verschijnen, kun je heel moeilijk bij een rechter aantonen dat je fysiek leed hebt.”