Twee speelgoedtanks met een camera, die te koop zijn in Nederland, zijn relatief makkelijk te hacken, blijkt uit onderzoek van internetbeveiligingsbedrijf Strict in opdracht van het Agentschap Telecom. Door de slechte beveiliging kan een hacker "kinderlijk eenvoudig" toegang krijgen tot de camera en besturing van het speelgoed.

Het gaat om de YD-211 RC Tank en de I-Spy Tank, die beide in de markt worden gezet als 'spionagetank'. Beide stukken speelgoed zijn te besturen met de app die op een telefoon geïnstalleerd moet worden, waarna het speelgoed via een wifiverbinding bestuurd kan worden.

In beide speelgoedtanks vonden de onderzoekers meerdere kwetsbaarheden die door een kwaadwillende misbruikt kunnen worden. Zo is het wifisignaal standaard niet beveiligd met een wachtwoord, waardoor iedereen in de buurt van het apparaat verbinding kan maken. Zo kan met de bijbehorende app de besturing over worden genomen en kan de camera aangezet worden. Een andere kwetsbaarheid maakte dit ook mogelijk zonder dat daarvoor de app nodig is.

Daarnaast is de wifiverbinding tussen de tank en het apparaat niet versleuteld. De beelden die met de camera van het speelgoed gemaakt worden, zouden op die manier door hackers eenvoudig onderschept en bekeken kunnen worden.

Het is voor iemand met technische kennis "kinderlijk eenvoudig" om de speelgoedtanks te hacken, zegt Jeroen Roosien, onderzoeker bij Strict, tegen NU.nl. Hij vergelijkt de beveiliging van de tank met een huis. "Als je een voordeur hebt maar deze niet op slot doet, maak je het inbrekers wel erg makkelijk."

De kans dat de bezitter van een van de speelgoedtanks doelwit wordt van hackers, is relatief klein, zegt Roosien. Een aanvaller moet in de buurt zijn om verbinding met de tank te kunnen maken. Gebruikers die zich zorgen maken, kunnen het apparaat uitschakelen om te voorkomen dat het speelgoed kwetsbaar is.

Meerdere apparaten zijn kwetsbaar

Strict onderzocht bij wijze van steekproef in totaal 22 apparaten, waarvan er zeventien in een bepaalde mate kwetsbaar bleken. Naast de speelgoedtanks ging het onder meer om een router, de Linksys MAX-STREAM EA7500.

Deze router wordt door veel Nederlandse winkels en webshops aangeboden en is bedoeld voor thuisgebruik. Uit het onderzoek bleek dat gevoelige data onversleuteld verstuurd worden. Daarnaast worden wachtwoorden opgeslagen als platte tekst, waardoor een hacker deze kan inzien zonder ze te hoeven ontsleutelen.

Naar aanleiding van het onderzoek heeft Agentschap Telecom een meldpunt voor onveilige slimme apparaten geopend, waar consumenten kwetsbaarheden kunnen aangeven. De toezichthouder gebruikt deze informatie om een dossier op te bouwen met kwetsbare apparaten, en om fabrikanten aan te spreken op deze kwetsbaarheden.

In een aantal gevallen heeft het Agentschap Telecom contact gehad met de makers van de kwetsbare apparaten, maar in geen enkel geval heeft dat geleid tot aanpassingen door de fabrikant.