De kindertablet Innotab Max van Vtech bevat een oude kwetsbaarheid, die het makkelijk maakt om er data vanaf te halen. 

Dat stelt beveiligingsonderzoeker Ken Munro van Pen Test Partners. De ontdekking volgt op een grootschalige hack bij Vtech, waarbij ook gegevens van 124.730 Nederlandse kinderen werden gestolen.

De tablet gebruikt een oude Rockchip-processor die het makkelijk maakt om data af te lezen. Hierdoor is alle gebruikersdata onbeveiligd te bekijken door het apparaat in herstelmodus te zetten. Bij andere chips in Android-tablets is de data niet te lezen

Een datadief kan een usb-kabel aansluiten, de linkercursor ingedrukt houden en vervolgens de stroomknop drie seconden indrukken. De herstelmodus wordt dan geactiveerd en de data doorgestuurd. 

Volgens Munro zit er ook een verwijderbare SD-kaart op het moederbord van de tablet bevestigd, die kan worden verwijderd om snel alle data mee te nemen. Tot slot is een speciale debugmodus binnen Android standaard op de tablets geactiveerd, waardoor een aanvaller meteen volledige apparaattoegang (root) heeft. 

De kwetsbaarheid van de Rockchip-processor is al twee jaar bekend. Vtech zou na de ontdekking geen maatregelen hebben genomen, waardoor huidige modellen in de winkels nog steeds gevoelig voor de problemen zijn.