Kerst staat voor de deur en overal ter wereld breken ouders het hoofd over wat ze hun kinderen dit jaar cadeau zullen doen. Veel speelgoed en andere dingen gericht op kinderen heeft een internetconnectie, dit levert een interessant dilemma op: hoe houd je kinderen weg van de minder rooskleurige (=porno) kanten van het net?

VTech, de in Hong Kong-gevestigde fabrikant van Internet of Things speelgoed dat vorige jaar werd gehacked, probeert dit dilemma op te lossen met restrictieve browserinstellingen. De app toont geen adresbalk en beperkt de websites die je kunt bezoeken tot een handjevol, ogenschijnlijk onschuldige pagina’s die van tevoren zijn goedgekeurd door het bedrijf, zoals onder andere NASA’s Climate Kids, Disney Family en National Geographic.

Videos by VICE

Een van die sites is Google Translate. En wat bleek, als je het adres van een pornosite intypt in de vertaalbalk, kun je ongeremd browsen op YouPorn of PornHub en zelfs videos bekijken.

Eva Blum-Dumontet ontdekte dit toen ze aan het aan het rondkijken was op een VTech InnoTab Max, een tablet van 149 dollar specifiek geadverteerd als een “educatief speelgoed” met “leeftijdsgebonden content” voor kinderen tussen 3 en 9.

Deze achterdeur om op een pornosite te komen is duidelijk minder kwalijk dan een het datalek van vorig jaar, maar zoals Blum-Dumontet opmerkt, laat het wederom zien dat fabrikanten voorzichtiger moeten zijn wanneer ze apparaten verkopen die met het internet verbonden zijn, zeker als die zijn gericht op minderjarigen en ze ouders bepaalde veiligheid beloven.

Een screenshot van de VTech Innotab Max browser.

“Hoewel het hier niet ging om een hack, maar om een achterdeur, heeft Vtech duidelijk gefaald te voorzien dat ongepaste content kon worden bekeken via Google Translate. Als ze dit niet konden voorzien, dan roept dat serieuze vragen op of ze ook andere dingen niet hebben voorzien aan het gebruik van het speelgoed,” zei Blum-Dumontet.

Blum-Dumontet, die als onderzoeker verbonden is aan Privacy International, vertelde mij dat het vinden van de achterdeur heel makkelijk was. “Voor de duidelijkheid, ik heb totaal geen technische skills,” vertelde ze in een online chat. “Ik had er minder dan een minuut voor nodig.”

Het kind zou natuurlijk wel de URL van de pornosite moeten kennen om de filmpjes te kunnen zien, maar het vergt niet veel verbeelding om er een te raden (bijvoorbeeld Porn.com).

“Voor de duidelijkheid, ik heb totaal geen technische skills, maar ik had er minder dan een minuut voor nodig.”

Deze achterdeur komt ongeveer een jaar nadat VTech werd gehackt door een onbekende hacker, die in staat was om persoonlijke data, zoals namen, email adressen, wachtwoorden en chatgegevens, en zelfs foto’s van de gezichten van gebruikers, te achterhalen van 4.8 miljoen ouders en 6.3 miljoen kinderen.

We hebben vrijdag contact gezocht met VTech en het bedrijf liet weten dat ze “ermee bezig zijn” en zullen reageren “in de komende dagen.” We zullen het verhaal updaten zodra we meer horen van het bedrijf.