De nouveaux cas de pirates ciblant les jouets connectés prouvent qu'ils restent dangereux

Publicité

Cela devient un sujet annuel: quelques semaines après Noël, quelqu'un découvre qu'un jouet connecté «étonnant» est en fait un énorme risque pour la sécurité et la vie privée, avec la sécurité - et potentiellement, même la vie - des enfants péril.

Et pourtant, personne ne semble être proactif en acceptant la responsabilité.

Vos enfants utilisent-ils des jouets en ligne qui se connectent à votre réseau sans fil domestique? Si oui, ce qui suit peut vous préoccuper considérablement…

L'Allemagne interdit de parler de la poupée Cayla

En février 2017, les autorités allemandes ont décidé d'interdire la vente de la poupée parlante populaire, baptisée «Cayla». Des conseils ont même été donnés aux parents pour qu'ils détruisent tous les jouets qu'ils possédaient, même si aucune décision n'a été prise pour imposer cette action.

L'interdiction a été inspirée par une démonstration de preuve de concept d'une vulnérabilité dans le jouet, qui est disponible dans le monde entier.

Cayla est une idée mignonne. En ligne via Bluetooth et un téléphone intelligent avec accès Internet, la poupée répond aux questions, en utilisant la reconnaissance vocale et Google. Selon le chien de garde des télécommunications allemand, les conversations entre les enfants et les autres personnes à portée de la poupée peuvent être enregistrées… ou même transmises ailleurs.

«Une entreprise pourrait également utiliser les jouets pour cibler l'enfant ou les parents avec de la publicité. En outre, si la liaison radio n'est pas correctement sécurisée par le fabricant, le jouet peut être utilisé par les parties à proximité pour écouter les conversations. »

Mais quel est le vrai problème ici? Un jouet fournissant des réponses est-il un excellent moyen pour les enfants d'apprendre? Eh bien, c'est l'exécution: la connexion Bluetooth non sécurisée, en gros. En bref, c'est une réduction des coûts - opter pour un raccourci au lieu de s’assurer qu’un jouet susceptible de changer la vie est robuste.

Est-ce que vous ou vos enfants possédez une poupée Cayla? Nous vous suggérons de détruire un tel appareil est exagéré. Mais si vous êtes préoccupé par sa capacité à conserver les détails de la confidentialité, nous vous conseillons… de la désactiver. Parce que, évidemment, tout ce qui enregistre la voix et les conversations est un risque, non seulement pour les enfants, mais pour toute la famille.

Base de données Hack Leaks Recordings of Children

Avez-vous acheté un CloudPet pour votre progéniture ou les descendants d'un ami, Noël dernier?

C'est un jouet qui a été au centre d'une horrible fuite de données, dans laquelle les voix de leurs propriétaires (et amis et familles) ont été enregistrés, stockés dans une base de données non sécurisée et par conséquent fuite en ligne.

Juste pour clarifier, c'est 2 millions d'enregistrements qui ont été piratés. Oh, et ils ont ensuite été tenus en rançon, tout cela parce que le fabricant de CloudPets Spiral Toys a réduit les coûts, le temps et effort et stocké les données (nous ne verrons pas si elles auraient dû les enregistrer pour l'instant) dans un MongoDB base de données.

(Le problème avec MongoDB est qu'il n'est pas sécurisé par défaut. Des mesures supplémentaires doivent être prises pour sécuriser les données stockées de cette manière.)

Mais ça empire. Chercheur en sécurité Troy Hunt a tenté de contacter CloudPets à plusieurs reprises pour mettre en évidence le piratage, ainsi que le manque de sécurité dans les jouets eux-mêmes (trois mots de passe, mots de passe non hachés; les données de test, de préparation et de production et les sites Web sont tous stockés sur le même serveur.)

L'histoire désolée comprend une demande de Bitcoin pour renvoyer les données, une entreprise refusant de communiquer avec toute demande de renseignements des chercheurs et de la presse, et un groupe de parents ignorant que le jouet préféré de leur enfant est une sécurité en ligne risque. Au moment de la rédaction du présent document, CloudPets et Spiral Toys n'ont informé les parents d'aucun problème.

Que vous pensiez que les données enregistrées et ensuite divulguées sont un problème ou non, une entreprise qui refuse de s'engager avec quiconque sur des questions comme celle-ci n'est pas celle dont vous devez être les produits en utilisant.

Nous avons tout vu avant

Le problème avec tout cela est que, malheureusement, rien n'est nouveau. Comme l'industrie naissante de la maison intelligente 5 problèmes de sécurité à considérer lors de la création de votre maison intelligenteDe nombreuses personnes tentent de connecter autant d'aspects de leur vie au Web que possible, mais de nombreuses personnes ont exprimé de réelles inquiétudes quant à la sécurité de ces espaces de vie automatisés. Lire la suite - dont les jouets connectés sont, certes, une extension - les produits semblent avoir été regroupés, sans tenir compte des concepts tels que la sécurité et la confidentialité.

Non, ici les seuls concepts qui intéressent les designers sont le profit et les faibles coûts de fabrication.

En 2015, nous avons vu comment le sans fil les drones quadcopter pourraient être piratés Les logiciels malveillants Quadcopter prouvent que les jouets connectés sont un risque pour la sécuritéNous avons récemment appris que des logiciels malveillants ont été introduits dans un jouet quadricoptère, une révélation qui inquiète les parents soucieux de leur sécurité. Lire la suite avec un logiciel relativement simple.

Avancer d'un an, et il est devenu évident que non seulement le géant de l'électronique enfant VTech avait été piraté (avec la perte de 6 millions de comptes de données enfants VTech obtient piraté, Apple déteste les prises casque... [Recueil de nouvelles techniques]Les pirates informatiques exposent les utilisateurs de VTech, Apple envisage de retirer la prise casque, les lumières de Noël peuvent ralentir votre Wi-Fi, Snapchat se met au lit avec (ROUGE) et se souvient du Star Wars Holiday Special. Lire la suite ), mais ils étaient aussi mettre la responsabilité de la confidentialité et de la sécurité sur leurs consommateurs VTech: jouer librement avec les données de vos enfantsVTech, basée à Hong Kong, a mis à jour les termes et conditions suite à une importante faille de sécurité en 2015, transférant de manière flagrante le fardeau de la responsabilité aux parents et aux tuteurs sans arrière-pensée. Lire la suite .

À chacune de ces occasions, nous avons souligné les moyens par lesquels vous pouvez garantir vos données - et celles de vos enfants - reste sécurisé Cinq façons de garantir la sécurité de vos données personnellesVos données, c'est vous. Qu'il s'agisse d'une collection de photographies que vous avez prises, d'images que vous avez développées, de rapports que vous avez écrits, d'histoires que vous avez imaginées ou de musique que vous avez collectée ou composée, elle raconte une histoire. Protege le. Lire la suite . Nous avons également suggéré que vous demandiez davantage aux fabricants de jouets intelligents. En termes simples, si un jouet connecté ne répond pas aux exigences de base en matière de sécurité et de confidentialité (transfert de données sécurisé, protection par mot de passe) et les fabricants ne peuvent pas offrir un stockage sécurisé des données collectées, alors vous devez oublier ce jouet en particulier et passer au suivant.

Ça s'améliore

Heureusement, les choses changent, tout comme elles le sont sur le marché traditionnel de la maison intelligente. Les fabricants reconnaissent le besoin de sécurité et de confidentialité et lancent de nouveaux appareils plus robustes. Mais gardez un œil sur l'équipement moins cher, qui comprend du matériel et un firmware plus anciens. C'est là que les problèmes persisteront dans les années à venir, les fabricants tentant de vendre des stocks plus anciens et moins sûrs pour une fraction du prix.

Avez-vous un jouet connecté qui vous préoccupe? Vous sentez peut-être qu'il n'y a pas de risque? Dites-nous vos idées ci-dessous.

Crédit d'image: Sergey Chmel via Shutterstock.com