Domanda:
Quanto sono sicuri i giocattoli parlanti abilitati al Wi-Fi?
JohnP
2017-10-31 19:42:33 UTC
view on stackexchange narkive permalink

Recentemente sono stati trasmessi alla radio annunci di un giocattolo abilitato al Wi-Fi chiamato Talkies, pubblicizzati come in grado di comunicare con telefoni abilitati per app, con un "cerchio di fiducia" che altri telefoni possono essere aggiunto a.

(Foto obbligatoria di un simpatico animaletto abilitato al Wi-Fi) enter image description here

Soprattutto considerando la vulnerabilità Krack, e il noto processo di " cura" di un bambino che un predatore sessuale o di altro tipo subisce per ottenere la sua fiducia e sfruttarlo ( Ecco una storia su come è stato utilizzato Snapchat) , è un giocattolo da cui dovrei allontanarmi per mio figlio? (3 anni attualmente)

[Probabilmente sicuro quanto le telecamere IP a seconda dell'utente del dispositivo.] (Http://www.securityinfowatch.com/article/12227605/hackers-use-25k-cameras-to-carry-out-botnet-attack)
in qualche modo correlato: https://iot.stackexchange.com/questions/1074/why-was-the-internet-connected-my-friend-cayla-doll-banned-as-a-hidden-espionag/1083#1083
I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/68063/discussion-on-question-by-johnp-how-safe-are-wifi-enabled-talking-toys).
Un paio di notizie da considerare: - [La bambola parlante dagli occhi luminosi che potrebbe essere una spia] (https://mobile.nytimes.com/2017/02/17/technology/cayla-talking-doll-hackers.html) - [Giocattoli per bambini "intelligenti" vulnerabili agli attacchi da parte di estranei] (http://www.kristv.com/story/36707236/6-investigates-smart-childrens-toys-vulnerable-to-hack-by-strangers)- [L'FBI avverte i genitori sui rischi dei giocattoli connessi a Internet che spiano i bambini] (http://www.slate.com/blogs/future_tense/2017/07/19/fbi_is_warning_parents_about_hacking_internet_connected_toys.html) - [I difetti dei giocattoli intelligenti rendono l'hackinginformazioni per bambini pl
Sei risposte:
#1
+92
Anders
2017-10-31 20:13:39 UTC
view on stackexchange narkive permalink

Stai molto, molto attento. Non è KRACK il problema, è un atteggiamento rilassato nei confronti della sicurezza e della privacy in generale. I cosiddetti prodotti di consumo "intelligenti" possono spesso essere violati, accessibili da Internet o monitorati. Come cliente, è difficile sapere se un prodotto specifico è sicuro o meno.

Il Consiglio dei consumatori norvegese è stato sul caso per un po 'e ha prodotto qualche orrore storie. Da un rapporto, appropriatamente intitolato #ToyFail, su tre bambole "intelligenti":

Durante l'esame dei termini di utilizzo e delle politiche sulla privacy dei giocattoli collegati, l'NCC ha scoperto una generale sconcertante mancanza di riguardo per i diritti fondamentali dei consumatori e della privacy. [...]

Inoltre, i termini sono generalmente vaghi sulla conservazione dei dati e si riservano il diritto di interrompere il servizio in qualsiasi momento senza un motivo sufficiente. Inoltre, due dei giocattoli trasferiscono le informazioni personali a una terza parte commerciale, che si riserva il diritto di utilizzare queste informazioni praticamente per qualsiasi scopo, non correlato alla funzionalità dei giocattoli stessi.

È stato scoperto che due dei giocattoli non hanno praticamente alcuna sicurezza incorporata. Ciò significa che chiunque può avere accesso al microfono e agli altoparlanti all'interno dei giocattoli, senza richiedere l'accesso fisico ai prodotti. Questa è una grave falla di sicurezza, che non avrebbe mai dovuto essere presente nei giocattoli in primo luogo.

E da un altro dei loro rapporti, di nuovo giustamente chiamato #WatchOut , sugli orologi "intelligenti" per bambini:

[T] due dei dispositivi hanno difetti che potrebbero consentire a un potenziale aggressore di assumere il controllo delle app, ottenendo così l'accesso in tempo reale e posizione storica e dati personali, oltre a consentire loro di contattare direttamente i bambini, il tutto all'insaputa dei genitori.

Inoltre, molti dei dispositivi trasmettono dati personali a server situati in Nord America e Asia orientale, in alcuni casi senza alcuna crittografia. Uno degli orologi funziona anche come dispositivo di ascolto, consentendo al genitore oa uno sconosciuto con alcune conoscenze tecniche di monitorare audio l'ambiente circostante del bambino senza alcuna chiara indicazione sull'orologio fisico che ciò si stia verificando.

E l'FBI è d'accordo:

Giocattoli intelligenti e dispositivi di intrattenimento per bambini incorporano sempre più tecnologie che apprendono e adattano i loro comportamenti in base alle interazioni degli utenti. Queste funzionalità potrebbero mettere a rischio la privacy e la sicurezza dei bambini a causa della grande quantità di informazioni personali che potrebbero essere divulgate involontariamente.

Quindi, a meno che tu non abbia una necessità reale (diversa da "questo è cool ") per questo tipo di prodotti, direi che il tuo approccio migliore è semplicemente starne lontano.

Recentemente, una di queste bambole è risultata così insicura da essere classificata come "dispositivo di spionaggio nascosto" in Germania (e vietata), vedi ad es.discussione su IoT https://iot.stackexchange.com/questions/1074/why-was-the-internet-connected-my-friend-cayla-doll-banned-as-a-hidden-espionag/1083#1083 (uno dei due di cui al 3 ° paragrafo della citazione #toyfail)
... e se assolutamente ** devi ** averli, fai la cosa giusta e come minimo * separali su un segmento di rete tutto loro *, idealmente senza accesso (oltre a quello di qualsiasi dispositivo non attendibile sulbig bad Internet) a qualsiasi altra cosa.Almeno in questo modo, se succede qualcosa, stai limitando un po 'il potenziale danno.
@Michael Kjörling, no, solo NO.Anders ha appena spiegato che questa "bambola" è un dispositivo spia, che deve avere accesso a Internet per funzionare.La tua privacy sembra essere l'ultima cosa da tenere in considerazione nell'elenco dei produttori di bambole.La cosa sensata qui è non averne uno!
@Flummox Perché pensi che abbia iniziato il mio commento nel modo in cui l'ho fatto, inclusa la formattazione?Sono d'accordo con questa risposta, e non è possibile che ne comprerei uno io stesso (per questo e anche per altri motivi), ma ** se e solo se ** qualcuno ha davvero bisogno di qualcosa di simile, allora ci sono ancoramisure che possono essere prese per mitigare un po 'i rischi.In una situazione del genere, * non farlo almeno * sarebbe il massimo dell'irresponsabilità, sia verso te stesso, verso gli altri nella tua famiglia che verso gli altri su Internet.
#2
+15
AJ Henderson
2017-10-31 20:04:35 UTC
view on stackexchange narkive permalink

Dipende davvero dal tuo modello di minaccia. Non sarei particolarmente preoccupato per un particolare predatore sessuale nella tua zona che ha le capacità tecniche necessarie per utilizzare Krack per iniettare la voce nel giocattolo. A meno che non utilizzi il driver Linux vulnerabile, la cancellazione della chiave non funzionerà e la natura parziale del compromesso per un ripristino generale renderebbe quasi impossibile l'iniezione vocale.

Allo stesso modo, come dispositivo client, non offre molti rischi per la sicurezza se non come un dispositivo di ascolto, a seconda che sia sempre acceso o attivato premendo un pulsante. Krack non lo renderebbe utilizzabile direttamente come punto di ingresso nella tua rete, quindi non lo vedo come un dispositivo particolarmente più rischioso di qualsiasi altro dispositivo IOT.

Come sempre per la sicurezza, non funziona alla tua avversione al rischio però. Personalmente, se pensassi che sarebbe prezioso per mio figlio (che ha anche 3 anni) non penso che considererei le implicazioni sulla sicurezza locale come un motivo per non ottenerlo per il mio ambiente domestico. Sarei più preoccupato per i controlli e la sicurezza sul lato web.

La mia preoccupazione principale per i dispositivi IOT non è tanto il compromesso locale quanto il compromesso remoto connesso al web. Le possibilità che un individuo maligno sufficientemente qualificato e motivato nelle tue immediate vicinanze sia piuttosto basso. Le possibilità che un utente motivato e malintenzionato su Internet tenti di accedere da remoto al dispositivo IOT sono significativamente più alte ed è importante capire quali buchi i dispositivi perforano le tue protezioni di rete.

Inoltre, come Michael è stato così gentile per sottolineare, è molto meno probabile che gli interessi di un hacker così ampio siano interessati alla tua privacy e molto più probabile che sia interessato ad attacchi agli altri tuoi computer o alle capacità di calcolo del dispositivo come bot di attacco.

Inoltre, tenendo presente la distinzione su ciò a cui un utente malintenzionato remoto sta tentando di accedere.Supponendo che tu non sia un obiettivo di alto profilo (e se lo sei, probabilmente sai meglio che fidarti di estranei casuali su Internet per consigli sulla sicurezza), è abbastanza improbabile che un utente malintenzionato remoto che ottiene l'accesso a un dispositivo IoT (anche unoche può essere trasformato in remoto in un microfono e altoparlante attivi, o una videocamera, a casa tua) è particolarmente interessato a * te in modo specifico *.È tanto più probabile che siano interessati al dispositivo stesso, ad es.per la sua potenza di calcolo o connettività di rete.
In risposta alla tua modifica, in tutta onestà, non stavo necessariamente pensando di utilizzare il dispositivo come un bot di attacco, anche se è una cosa ovvia che potrebbe accadere (pensa Mirai e l'attacco di sovraccarico DNS contro Twitter e gli amici di recente, per esempio).Pensa anche ad es.mining di bitcoin o invio di e-mail di spam.Certo, un giocattolo come quello esemplificato nella domanda probabilmente non ha abbastanza potenza di calcolo per fare una grande differenza, ma se il costo per l'attaccante è prossimo allo zero, non ha bisogno di fare molto per trasformare unprofitto, soprattutto se ne hai migliaia che lavorano per te ...
C'è stato un recente documentario (BBC se la memoria mi serve correttamente) che mostra la storia di una donna anziana che ha risposto al telefono a un truffatore ed era convinta a trasferire loro una grossa somma di denaro.La chiave della truffa era il loro uso della videocamera e del microfono sul suo laptop durante la chiamata.Se un dispositivo come questo "giocattolo" è più facile da scassinare rispetto a una (presumibilmente) macchina per finestre, questo diventa solo un esempio in cui un exploit di questo tipo aumenta la superficie a rischio
#3
+12
Machavity
2017-10-31 23:09:50 UTC
view on stackexchange narkive permalink

Benvenuto nell'Internet delle cose (IoT). Questa è una ... cosa. Pertanto, può essere assimilato

Mirai è un tipo di malware che trova automaticamente i dispositivi Internet of Things per infettarli e li arruola in una botnet, un gruppo di dispositivi informatici che può essere controllato centralmente.

E

Uno dei motivi per cui Mirai è così difficile da contenere è che si annida sui dispositivi e generalmente non influisce in modo evidente le loro prestazioni. Non c'è motivo per cui l'utente medio possa mai pensare che la propria webcam, o più probabilmente quella di una piccola impresa, sia potenzialmente parte di una botnet attiva. E anche se lo fosse, non c'è molto che potrebbero fare al riguardo, non avendo un modo diretto per interfacciarsi con il prodotto infetto.

Il problema è che la sicurezza è raramente una considerazione quando si creano giocattoli come Questo. La tecnologia per far funzionare tutto questo è abbastanza semplice, ma le aziende non sono pagate per pensarci. È un giocattolo per bambini. È pensato per essere economico e facile. E ottieni quello per cui paghi.

All'inizio di quest'anno, si è scoperto che il giocattolo di un bambino simile non aveva alcuna sicurezza (enfasi mia)

Un produttore di giocattoli di peluche connessi a Internet ha esposto più di 2 milioni di registrazioni vocali di bambini e genitori, nonché indirizzi e-mail e dati sulle password per oltre 800.000 account.

I dati dell'account sono stati lasciati in un database disponibile pubblicamente che non era protetto da una password o posto dietro un firewall , secondo un post sul blog pubblicato lunedì da Troy Hunt, manutentore di Have I Been Pwned ?, breach -notifica sito web. Ha detto che le ricerche utilizzando il motore di ricerca per computer Shodan e altre prove hanno indicato che, dal 25 dicembre all'8 gennaio, i dati dei clienti sono stati consultati più volte da più parti, compresi i criminali che alla fine hanno tenuto i dati per il riscatto. Le registrazioni erano disponibili su un servizio ospitato da Amazon che non richiedeva alcuna autorizzazione per l'accesso.

Sarò onesto. Queste cose sono spaventosamente potenti in quello che possono fare. Anche se non espone i tuoi messaggi, potrebbe comunque essere utilizzato per qualcosa di dannoso come un attacco DDOS. Se fossi in te, trasmetterei qualcosa del genere a meno che non ci sia qualcosa di esplicito sulla sicurezza.

Non importa le minacce alla sicurezza nazionale.Se * ogni * conversazione in un campione abbastanza ampio di case viene registrata e digitalizzata, non vale davvero la pena pensare che i dati vengano utilizzati in futuri procedimenti penali per crimini contro lo Stato.Se viene inviato a monte per l'apprendimento delle lingue AI (venduto a Google o AWS, ad esempio) potrebbe esserci qualche valore nel preservare le lingue che si estinguono in futuro?
#4
+7
Ángel
2017-11-01 22:29:50 UTC
view on stackexchange narkive permalink

Questo è più o meno lo stesso tipo di giocattolo dei CloudPets. Quelli erano giocattoli che permettevano di parlare con i bambini (giocattolo) utilizzando un'app mobile. La sicurezza era terribile. Si è scoperto che sia i dettagli dell'utente che le registrazioni degli animali domestici erano disponibili su database senza password. E la società non ha nemmeno risposto alle e-mail che li avvisavano delle vulnerabilità.

Puoi vedere questa storia terrificante sul blog di Troy Hunt: https://www.troyhunt.com/data -da-cloud-connessi-animali-orsacchiotti-trapelati-e-riscattati-che-espongono-messaggi-vocali-bambini /

Ora, i talkie potrebbero aver fatto le scelte giuste (è fare tante cose sbagliate come ha fatto CloudPets!), ma questo mostra il livello di sicurezza di questo settore.

Quindi no, non mi fiderei di questo giocattolo con i dati dei miei figli. Per non parlare del modo in cui il giocattolo stesso potrebbe essere compromesso (ad es. Come Hello Barbie).

In effetti, la Germania è arrivata al punto di vietare le bambole Cayla connesse a potrebbero essere sfruttati per prendere di mira i bambini: https://www.telegraph.co.uk/news/2017/02/17/germany-bans-internet-connected-dolls-fears-hackers-could-target/

#5
+5
baldPrussian
2017-10-31 22:22:05 UTC
view on stackexchange narkive permalink

qualsiasi cosa abilitata a Internet rappresenta un rischio. Di norma, la sicurezza è una spesa e i consumatori nel loro insieme non considerano la sicurezza del prodotto quando prendono decisioni di acquisto. Ad esempio, di recente c'è stato un thread su Reddit su una coppia che ha divorziato e non ha cambiato la password sul termostato Nest. Quindi, mentre lei era fuori, avrebbe alzato l'aria condizionata o il riscaldamento e avrebbe causato enormi bollette. Sappiamo anche di baby monitor che sono stati utilizzati per ascoltare i vicini senza il loro consenso. Ho assistito a dimostrazioni sulla sicurezza IT degli interruttori della luce connessi a Internet, dimostrando quanto sia stato facile attaccarli.

krack è importante, sicuramente, ma se paragonato a una posizione di sicurezza inesistente è irrilevante. Molto semplicemente, se qualcuno è preoccupato per la sicurezza, suggerirei di non acquistare nulla che possa essere collegato in rete a meno che non riesca a identificare la necessità che abbia una connessione di rete e abbia le capacità per proteggere adeguatamente sia esso che la sua rete.

WRT la vostra cerchia di telefoni di fiducia: quanto spesso pensereste di gestire quella lista? Qual è il mezzo per entrare a far parte di quella cerchia di fiducia? Sai quando i tuoi amici rivendono i loro telefoni in modo da poterli disattivare dalla tua cerchia? (Se la tua risposta non è "no" all'ultima, probabilmente non sei realista con te stesso.)

Incoraggia la creatività. Sviluppa abilità. Porta al ragazzo un mucchio di mattoncini o un treno. Procurati uno spirografo. Gioca a carte / giochi con loro. Trova qualcosa con cui giocheranno per ore che non richieda la tua costante attenzione.

#6
+3
user1258361
2017-11-01 09:44:15 UTC
view on stackexchange narkive permalink

Questo inserisce "IOT" in "IDIOT!".

La maggior parte delle aziende che li producono non hanno idea di come impedire agli hacker di impossessarsene, a volte programmando exploit comicamente stupidi / ovvi in ​​essi .

L'exploit KRACK potrebbe essere irrilevante per la metà del tempo poiché la maggior parte di questi produttori non capirebbe come implementare una qualche forma di crittografia.

Qualsiasi tipo di registrazione vocale abilitata per Internet è potenzialmente inquietante e addirittura pericolosa violazione della privacy. Questi dispositivi probabilmente utilizzano il cloud per l'elaborazione e l'archiviazione del suono, considerando che quasi certamente si basano su chip ARM di basso livello e al massimo su una memoria flash a basso costo.

Anche se il dispositivo è realizzato correttamente, non esiste una garanzia simile sull'app cloud che utilizza. Saresti sorpreso di quante volte i ricercatori si imbattano in preziosi dati rimanenti nel cloud che l'utente precedente di un'istanza di macchina logica non è riuscito a ripulire.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...