Novos casos de hackers que visam brinquedos conectados provam que permanecem inseguros

Propaganda

Isso está se transformando em um tópico anual: algumas semanas após o Natal, alguém descobre que um brinquedo conectado “incrível” é na verdade, um enorme risco de segurança e privacidade, com a segurança - e potencialmente, até a vida - das crianças perigo.

E ainda assim, ninguém parece ser pró-ativo em aceitar responsabilidades.

Seus filhos usam brinquedos on-line que se conectam à sua rede sem fio doméstica? Nesse caso, o que se segue pode ser uma preocupação considerável para você ...

Alemanha proíbe falar boneca Cayla

Em fevereiro de 2017, as autoridades alemãs decidiram proibir a venda do boneco falante popular, batizado de “Cayla”. Houve até conselhos dados aos pais para destruir qualquer brinquedo que eles tivessem, embora não tenha sido tomada uma decisão de impor essa ação.

A proibição foi inspirada por uma demonstração de prova de conceito de uma vulnerabilidade no brinquedo, disponível em todo o mundo.

Cayla é uma ideia fofa. Ficando on-line via Bluetooth e um telefone inteligente com acesso à Internet, a boneca responde perguntas, usando reconhecimento de voz e Google. De acordo com o órgão de vigilância de telecomunicações da Alemanha, as conversas entre crianças e outras pessoas ao alcance da boneca podem ser gravadas... ou até encaminhadas para outros lugares.

“Uma empresa também pode usar os brinquedos para direcionar publicidade à criança ou aos pais. Além disso, se o link de rádio não for adequadamente protegido pelo fabricante, o brinquedo poderá ser usado por terceiros para escutar conversas. ”

Mas qual é o verdadeiro problema aqui? Certamente um brinquedo que fornece respostas é uma ótima maneira de as crianças aprenderem? Bem, é a execução: a conexão Bluetooth não segura, basicamente. Em resumo, é um corte de custos - optar por um atalho em vez de garantir que um brinquedo com potencial de mudança de vida seja robusto.

Você ou seus filhos possuem uma boneca Cayla? Sugerimos que destruir esse dispositivo seja um exagero. Mas se você estiver preocupado com a capacidade de reter detalhes da privacidade, aconselhamos... a desativá-la. Porque, obviamente, qualquer coisa que grave voz e conversas é um risco, não apenas para as crianças, mas para toda a família.

Hack de banco de dados vaza gravações de crianças

Você comprou um CloudPet para seus filhos, ou os descendentes de um amigo, no Natal passado?

Este é um brinquedo que foi o centro de um horrendo vazamento de dados, no qual as vozes de seus proprietários (e amigos e familiares) foram gravados, armazenados em um banco de dados não seguro e consequentemente vazaram conectados.

Só para esclarecer, são 2 milhões de gravações que foram hackeadas. Ah, e eles foram então resgatados, tudo porque a Spiral Toys, fabricante do CloudPets, reduziu custos, tempo e esforço e armazenou os dados (vamos ignorar se eles deveriam gravá-los por enquanto) em um MongoDB base de dados.

(O problema com o MongoDB é que, por padrão, ele não é seguro. É necessário tomar medidas extras para proteger os dados armazenados dessa maneira.)

Mas piora. Pesquisador de segurança Troy Hunt tentou entrar em contato com o CloudPets em várias ocasiões destacar o hack, bem como a falta de segurança dentro dos próprios brinquedos (senhas com três caracteres, desmontadas; dados e sites de teste, teste e produção, todos armazenados no mesmo servidor.)

Toda a triste história inclui uma demanda do Bitcoin para retornar os dados, uma empresa se recusando a se comunicar com qualquer dúvida de pesquisadores e da imprensa, e muitos pais não sabem que o brinquedo favorito de seus filhos é uma segurança on-line risco. No momento da redação deste artigo, a CloudPets e a Spiral Toys não informaram os pais sobre nenhum problema.

Se você acha que os dados sendo gravados e subsequentemente vazados são um problema ou não, uma empresa que se recusa a se envolver com alguém sobre questões como essa não é aquela que você cujos produtos você deve ter usando.

Já vimos tudo isso antes

O problema com tudo isso é que, infelizmente, nada é novo. Como a incipiente indústria doméstica inteligente 5 preocupações de segurança a serem consideradas ao criar sua casa inteligenteMuitas pessoas tentam conectar o maior número possível de aspectos de suas vidas à Web, mas muitas pessoas expressaram preocupações genuínas sobre a segurança desses espaços automatizados. consulte Mais informação - de que brinquedos conectados são uma extensão dos produtos - parece que foram lançados juntos, com pouca consideração por conceitos como segurança e privacidade.

Não, aqui os únicos conceitos de interesse para os projetistas são lucro e baixos custos de fabricação.

Em 2015, vimos como a tecnologia sem fio drones quadcopter podem ser hackeados Quadcopter Malware prova que brinquedos conectados são um risco à segurançaRecentemente, descobrimos que o malware foi introduzido em um brinquedo quadcopter, uma revelação que deixou os pais preocupados com a segurança. consulte Mais informação com um software relativamente simples.

Avance um ano e ficou claro que não apenas a gigante eletrônica VTech infantil foi invadida (com a perda de 6 milhões de contas de dados filho VTech é hackeada, Apple odeia fones de ouvido... [Resumo das notícias técnicas]Os hackers expõem os usuários da VTech, a Apple considera remover o fone de ouvido, as luzes de Natal podem diminuir a velocidade do seu Wi-Fi, o Snapchat deita na cama com (RED) e lembra o Star Wars Holiday Special. consulte Mais informação ), mas eles também foram colocando o ônus da privacidade e segurança em seus consumidores VTech: Jogando Livre com os Dados de Seus FilhosA VTech, com sede em Hong Kong, atualizou os termos e condições após uma grande violação de segurança em 2015, transferindo descaradamente o ônus da responsabilidade para pais e responsáveis ​​sem pensar duas vezes. consulte Mais informação .

Em cada uma dessas ocasiões, destacamos maneiras pelas quais você pode garantir seus dados - e os de seus filhos - permanece seguro Cinco maneiras de garantir que seus dados pessoais permaneçam segurosSeus dados são você. Seja uma coleção de fotografias que você tirou, imagens que você desenvolveu, relatórios que escreveu, histórias que você pensou ou músicas que você coletou ou compôs, isso conta uma história. Proteja-o. consulte Mais informação . Sugerimos também que você exija mais dos fabricantes de brinquedos inteligentes. Simplificando, se um brinquedo conectado não atender aos requisitos básicos de segurança e privacidade (transferência segura de dados, proteção por senha) e seus Como os fabricantes não podem oferecer armazenamento seguro de nenhum dado coletado, é necessário esquecer esse brinquedo específico e passar para o Próximo.

Está ficando melhor

Felizmente, as coisas estão mudando, assim como no mercado doméstico inteligente. Os fabricantes estão reconhecendo a necessidade de segurança e privacidade e lançando novos dispositivos mais robustos. Mas fique de olho no equipamento mais barato, que possui hardware e firmware mais antigos. É aqui que os problemas persistirão nos próximos anos, à medida que os fabricantes tentam vender ações mais antigas e menos seguras por uma fração do preço.

Você tem um brinquedo conectado com o qual se preocupa? Talvez você sinta que não há risco? Conte-nos o que pensa abaixo.

Crédito de imagem: Sergey Chmel via Shutterstock.com