Это превращается в ежегодную тему: через несколько недель после Рождества кто-то обнаруживает, что «удивительная» подключенная игрушка на самом деле представляет собой огромный риск для безопасности и конфиденциальности, а безопасность детей — и, возможно, даже жизнь — подвергается опасности.
И все же никто, кажется, не проявляет инициативу в принятии ответственности.
Ваши дети используют онлайн-игрушки, которые подключаются к вашей домашней беспроводной сети? Если это так, то, что следует, может иметь большое значение для вас …
Германия запрещает говорить куклу Cayla
В феврале 2017 года власти Германии решили запретить продажу популярной говорящей куклы, получившей название «Cayla». Родителям даже давали совет уничтожить любые игрушки, которые они имели, хотя решение о принудительном применении этого действия не было принято.
Запрет был вдохновлен демонстрацией концепции уязвимости в игрушке, которая доступна во всем мире.
Кайла это милая идея. Выходя в интернет через Bluetooth и смартфон с доступом в интернет, кукла отвечает на вопросы, используя распознавание голоса и Google. Согласно немецкому наблюдателю за телекоммуникациями, разговоры между детьми и другими людьми, находящимися в радиусе действия куклы, могут быть записаны … или даже переадресованы в другое место.
«Компания также может использовать игрушки для рекламы ребенка или родителей. Кроме того, если радиосвязь не обеспечена должным образом изготовителем, находящиеся поблизости стороны могут использовать эту игрушку для прослушивания разговоров ».
Но в чем здесь реальная проблема? Конечно, игрушка, дающая ответы, — отличный способ для детей учиться? Ну, это исполнение: незащищенное соединение Bluetooth, в основном. Короче говоря, это экономия средств — выбор кратчайшего пути вместо того, чтобы убедиться, что потенциально изменяющая жизнь игрушка является надежной.
У вас или ваших детей есть кукла Cayla? Мы предлагаем уничтожить такое устройство, это излишне. Но если вы беспокоитесь о его способности сохранять детали конфиденциальности, мы бы посоветовали … отключить его. Потому что, очевидно, все, что записывает голос и разговоры, представляет опасность не только для детей, но и для всей семьи.
База данных взломать утечки записей детей
Вы купили CloudPet для своего потомства или потомков друга в прошлое Рождество?
Это игрушка, которая стала центром ужасной утечки данных, в которой голоса их владельцев (и друзей, и семей) были записаны, сохранены в незащищенной базе данных и, как следствие, просочились в онлайн.
Просто чтобы уточнить, это 2 миллиона записей, которые были взломаны. О, и они были затем привлечены к выкупу, все потому, что производитель Spiral Toys CloudPets сократил затраты, время и усилия и сохранил данные (мы не будем обращать внимание, должны ли они записывать их сейчас) в базе данных MongoDB.
(Проблема с MongoDB заключается в том, что по умолчанию она не безопасна. Необходимо предпринять дополнительные шаги для защиты данных, хранящихся таким образом.)
Но это становится хуже. Исследователь безопасности Трой Хант несколько раз пытался связаться с CloudPets, чтобы подчеркнуть взлом, а также отсутствие безопасности внутри самих игрушек (трехсимвольные, не хэшированные пароли; тестовые, промежуточные и производственные данные и веб-сайты, хранящиеся на одном сервере). )
Вся эта печальная история включает в себя требование Биткойна вернуть данные, компанию, отказывающуюся отвечать на любые запросы исследователей и прессы, и кучу родителей, которые не знали, что любимая игрушка их ребенка представляет собой угрозу безопасности в Интернете. На момент написания этой статьи CloudPets и Spiral Toys не сообщали родителям о каких-либо проблемах.
Независимо от того, считаете ли вы, что данные записываются и впоследствии просачиваются, является проблемой или нет, компания, которая отказывается взаимодействовать с кем-либо по таким вопросам, не является той, которую вы должны использовать.
Мы видели все это раньше
Проблема всего этого в том, что, к сожалению, ничего нового. Подобно молодой индустрии умного дома — какие подключенные игрушки являются продолжением, по общему признанию — продуктов, кажется, были объединены, с небольшим вниманием к таким понятиям, как безопасность и конфиденциальность.
Нет, здесь единственными концепциями, интересующими дизайнеров, являются прибыль и низкие производственные затраты.
Еще в 2015 году мы увидели, как беспилотники беспроводных квадрокоптеров могут быть взломаны. с помощью сравнительно простого программного обеспечения.
Пролистайте год вперед, и стало очевидно, что не только взломанный гигант детской электроники VTech (с потерей 6 миллионов учетных записей дочерних данных, взломанный ), но они также возлагали ответственность за конфиденциальность и безопасность на своих потребителей.
В каждом из этих случаев мы выделяли способы обеспечения безопасности ваших данных и данных ваших детей. Мы также предложили вам требовать большего от производителей умных игрушек. Проще говоря, если подключенная игрушка не отвечает основным требованиям безопасности и конфиденциальности (безопасная передача данных, защита паролем) и ее производители не могут предложить безопасное хранение любых собранных данных, то вам нужно забыть об этой конкретной игрушке и перейти к следующей. ,
Становится лучше
К счастью, все меняется, так же как и на рынке умного дома. Производители признают необходимость обеспечения безопасности и конфиденциальности и выпускают новые, более надежные устройства. Но обратите внимание на более дешевое оборудование, которое оснащено устаревшим оборудованием и прошивкой. Именно здесь проблемы будут сохраняться в ближайшие годы, поскольку производители пытаются распродать старые, менее безопасные запасы за небольшую часть цены.
У вас есть подключенная игрушка, которая вас беспокоит? Возможно, вы чувствуете, что риска нет? Расскажите нам свои мысли ниже.
Изображение предоставлено: Сергей Чмель через Shutterstock.com