Quanto sono sicuri i giocattoli parlanti in wifi?

50

Recentemente ci sono stati degli annunci alla radio per un giocattolo abilitato per il wifi chiamato Talkie , che sono pubblicizzati come in grado di comunicare con telefoni abilitati all'app, con un" cerchio fidato "a cui altri telefoni possono essere aggiunti.

(Foto obbligatoria di un simpatico dispositivo di segnalazione wifi abilitato)

Specialmenteconsiderandola vulnerabilità di Krack e il processo noto di " grooming " un bambino che un predatore sessuale o di altro tipo passa per ottenere la loro fiducia e sfruttarli ( Ecco una storia su come è stato usato Snapchat), è un giocattolo che dovrei evitare per il mio bambino? (3 anni attualmente)

    
posta JohnP 31.10.2017 - 15:42
fonte

6 risposte

92

Sii molto, molto attento. Non è KRACK questo è il problema, è un'attitudine lassista alla sicurezza e alla privacy in generale. I cosiddetti prodotti di consumo "intelligenti" possono essere spesso dirottati, accessibili da Internet o monitorati. Come cliente, è difficile sapere se un prodotto specifico è sicuro o meno.

Il Consiglio norvegese dei consumatori è stato sul caso per un po 'e ha prodotto alcune storie dell'orrore. Da un rapporto, opportunamente intitolato #ToyFail , su tre " "bambole":

When scrutinizing the terms of use and privacy policies of the connected toys, the NCC found a general disconcerting lack of regard to basic consumer and privacy rights. [...]

Furthermore, the terms are generally vague about data retention, and reserve the right to terminate the service at any time without sufficient reason. Additionally, two of the toys transfer personal information to a commercial third party, who reserves the right to use this information for practically any purpose, unrelated to the functionality of toys themselves.

[I]t was discovered that two of the toys have practically no embedded security. This means that anyone may gain access to the microphone and speakers within the toys, without requiring physical access to the products. This is a serious security flaw, which should never have been present in the toys in the first place.

E da un altro dei loro rapporti, ancora opportunamente chiamato #WatchOut , su orologi "intelligenti" per bambini:

[T]wo of the devices have flaws which could allow a potential attacker to take control of the apps, thus gaining access to children’s real-time and historical location and personal details, as well as even enabling them to contact the children directly, all without the parents’ knowledge.

Additionally, several of the devices transmit personal data to servers located in North America and East Asia, in some cases without any encryption in place. One of the watches also functions as a listening device, allowing the parent or a stranger with some technical knowledge to audio monitor the surroundings of the child without any clear indication on the physical watch that this is taking place.

E l'FBI è d'accordo :

Smart toys and entertainment devices for children are increasingly incorporating technologies that learn and tailor their behaviours based on user interactions. These features could put the privacy and safety of children at risk due to the large amount of personal information that may be unwittingly disclosed.

Quindi, a meno che tu non abbia un reale bisogno (diverso da "questo è bello") per questi tipi di prodotti, direi che il tuo miglior approccio è semplicemente stare lontano da loro.

    
risposta data 31.10.2017 - 16:13
fonte
15

Dipende davvero dal tuo modello di minaccia. Non sarei particolarmente preoccupato per un particolare predatore sessuale nella tua zona, con le competenze tecniche necessarie per utilizzare Krack per iniettare la voce nel giocattolo. A meno che non utilizzi il driver vulnerabile di Linux, la cancellazione delle chiavi non funzionerà e la natura parziale del compromesso per un ripristino generale renderebbe quasi impossibile l'iniezione vocale.

Allo stesso modo, come dispositivo client, non offre un sacco di rischi per la sicurezza se non come un dispositivo di ascolto, a seconda che sia sempre attivo o attivato premendo un pulsante. Krack non lo renderebbe utilizzabile come punto di accesso diretto alla tua rete, quindi non lo considero un dispositivo particolarmente rischioso di qualsiasi altro dispositivo IOT.

Come sempre in sicurezza, si tratta comunque dell'avversione al rischio. Personalmente, se pensassi che sarebbe utile per mio figlio (che è anche 3), non penso che considererei le implicazioni sulla sicurezza locale come una ragione per non ottenerlo per il mio ambiente domestico. Sarei più preoccupato per i controlli e la sicurezza sul lato web.

La mia preoccupazione principale per i dispositivi IOT non è il compromesso locale quanto il compromesso remoto connesso al web. Le probabilità di un individuo malintenzionato sufficientemente qualificato e motivato nella tua diretta vicinanza sono piuttosto basse. Le probabilità che un utente motivato e malintenzionato su Internet provi ad accedere in remoto al dispositivo IOT è significativamente più alto ed è importante capire quali buchi i dispositivi perforano le protezioni di rete.

Inoltre, dato che Michael è stato così gentile da far notare, gli interessi di un hacker così vasto sono molto meno interessati alla tua privacy e molto più probabilmente a essere interessati ad attacchi agli altri computer o alle capacità di calcolo del dispositivo come bot di attacco.

    
risposta data 31.10.2017 - 16:04
fonte
12

Benvenuti nell'Internet of Things (IoT). Questa è ... una cosa. Pertanto, può essere assimilata

Mirai is a type of malware that automatically finds Internet of Things devices to infect and conscripts them into a botnet—a group of computing devices that can be centrally controlled.

E

One reason Mirai is so difficult to contain is that it lurks on devices, and generally doesn't noticeably affect their performance. There's no reason the average user would ever think that their webcam—or more likely, a small business's—is potentially part of an active botnet. And even if it were, there's not much they could do about it, having no direct way to interface with the infected product.

Il problema è che raramente la sicurezza viene presa in considerazione quando si creano giocattoli come questo. La tecnologia per fare tutto questo lavoro è abbastanza semplice, ma le aziende non sono pagate per pensarci. È un giocattolo per bambini. È pensato per essere economico e facile. E ottieni quello per cui paghi.

All'inizio di quest'anno, è stato rilevato che un giocattolo simile non ha alcuna sicurezza (enfasi mia)

A maker of Internet-connected stuffed animal toys has exposed more than 2 million voice recordings of children and parents, as well as e-mail addresses and password data for more than 800,000 accounts.

The account data was left in a publicly available database that wasn't protected by a password or placed behind a firewall, according to a blog post published Monday by Troy Hunt, maintainter of the Have I Been Pwned?, breach-notification website. He said searches using the Shodan computer search engine and other evidence indicated that, since December 25 and January 8, the customer data was accessed multiple times by multiple parties, including criminals who ultimately held the data for ransom. The recordings were available on an Amazon-hosted service that required no authorization to access.

Sarò onesto. Queste cose sono spaventose potenti in quello che possono fare. Anche se non espone il tuo messaggio, potrebbe comunque essere usato per qualcosa di malevolo come un attacco DDOS. Se fossi in te, trasmetterei qualcosa di simile a meno che non ci sia qualcosa esplicito sulla sicurezza.

    
risposta data 31.10.2017 - 19:09
fonte
7

Questo è praticamente lo stesso tipo di giocattolo di CloudPets. Quelli erano giocattoli che permettevano di parlare con i bambini (giocattolo) usando un'app mobile. La sicurezza era terribile. Risultò che sia i dettagli dell'utente che le registrazioni dell'animale domestico erano disponibili su database senza password. E la compagnia non ha nemmeno risposto alle e-mail avvisandole delle vulnerabilità.

Puoi vedere questa terrificante storia sul blog di Troy Hunt: link

Ora, i Talkie potrebbero aver fatto le scelte giuste (è difficile fare così tante cose sbagliate come ha fatto CloudPets!), ma questo mette in evidenza il livello di sicurezza di questo settore.

Quindi no, non mi fiderei di questo giocattolo con i dati dei miei figli. Per non parlare di come il giocattolo stesso potrebbe essere compromesso (ad esempio Ciao Barbie ).

In effetti, la Germania è arrivata a vietare a Internet le bambole di Cayla collegate alle paure che potrebbero essere sfruttate per colpire i bambini: link

    
risposta data 01.11.2017 - 18:29
fonte
5

abilitato per Internet qualsiasi cosa rappresenta un rischio. Di norma, la sicurezza è una spesa e, nel complesso, i consumatori non considerano la sicurezza del prodotto quando prendono decisioni di acquisto. Ad esempio, recentemente su Reddit c'è stata una discussione su una coppia che ha divorziato e non ha cambiato la password sul termostato Nest. Così, mentre era fuori, avrebbe alzato l'aria condizionata o il riscaldamento e avrebbe causato enormi bollette. Sappiamo anche di baby monitor che sono stati utilizzati per ascoltare i vicini senza il loro consenso. Ho partecipato a dimostrazioni sulla sicurezza IT degli interruttori della luce collegati a Internet, mostrando quanto fosse facile attaccarli.

krack è importante, sicuramente, ma se confrontato con una posizione di sicurezza inesistente è irrilevante. Molto semplicemente, se qualcuno è preoccupato per la sicurezza, suggerirei di non acquistare nulla in rete a meno che non possano identificare la necessità di avere una connessione di rete e hanno le competenze per proteggere correttamente sia esso che la loro rete.

WRT la cerchia dei tuoi fidati telefoni: quante volte penserai di gestire quell'elenco? Qual è il mezzo per unirsi a quel cerchio fidato? Sai quando i tuoi amici vendono i loro telefoni in modo da poterli rimuovere dalla tua cerchia? (Se la tua risposta non è "no" all'ultimo, probabilmente non sei realistico con te stesso.)

Incoraggia la creatività. Costruisci abilità. Porta al ragazzo un mucchio di mattoni o un treno. Ottieni uno Spirograph. Gioca a carte / giochi con loro. Trova qualcosa con cui giocheranno per ore che non richiede la tua costante attenzione.

    
risposta data 31.10.2017 - 18:22
fonte
3

Questo pone "IOT" in "IDIOT!".

La maggior parte delle aziende che li producono non hanno idea di come impedire agli hacker di prenderli in consegna, a volte programmando in essi exploits comicamente stupidi / ovvi.

L'exploit KRACK potrebbe essere irrilevante metà del tempo dato che la maggior parte di questi produttori non capirebbe come implementare una qualche forma di crittografia.

Qualsiasi tipo di registrazione vocale abilitata per Internet è potenzialmente inquietante e addirittura pericolosa invasione della privacy. Questi dispositivi utilizzano probabilmente il cloud per l'elaborazione e l'archiviazione del suono, considerando che sono quasi certamente basati su chip ARM di basso livello e al minimo con una memoria flash a basso costo al massimo.

Anche se il dispositivo è stato realizzato correttamente, non esiste alcuna garanzia simile sull'app cloud che utilizza. Sareste sorpresi della frequenza con cui i ricercatori incappano in preziosi dati avanzati nel cloud che l'utente precedente di un'istanza di macchina logica non è riuscita a ripulire.

    
risposta data 01.11.2017 - 05:44
fonte

Leggi altre domande sui tag