Frage:
Wie sicher sind wifi-fähige sprechende Spielzeuge?
JohnP
2017-10-31 19:42:33 UTC
view on stackexchange narkive permalink

Vor kurzem wurden im Radio Anzeigen für ein wifi-fähiges Spielzeug namens Talkies geschaltet, die als fähig beworben werden, mit App-fähigen Telefonen zu kommunizieren, mit einem "vertrauenswürdigen Kreis", den andere Telefone haben können hinzugefügt zu.

(Obligatorisches Foto eines niedlichen wifi-fähigen Lebewesens) enter image description here

Insbesondere unter Berücksichtigung der Krack-Sicherheitslücke, und der bekannte Prozess der " Pflege" eines Kindes, das ein sexueller oder anderer Raubtier durchläuft, um sein Vertrauen zu gewinnen und es auszunutzen ( Hier ist eine Geschichte darüber, wie Snapchat verwendet wurde) Ist dies ein Spielzeug, von dem ich für mein Kind Abstand nehmen sollte? (Derzeit 3 ​​Jahre alt)

[Je nach Benutzer des Geräts wahrscheinlich ungefähr so sicher wie IP-Kameras.] (Http://www.securityinfowatch.com/article/12227605/hackers-use-25k-cameras-to-carry-out-botnet-attack)
etwas verwandt: https://iot.stackexchange.com/questions/1074/why-was-the-internet-connected-my-friend-cayla-doll-banned-as-a-hidden-espionag/1083#1083
Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/68063/discussion-on-question-by-johnp-how-safe-are-wifi-enabled-talking-toys).
Einige zu berücksichtigende Nachrichten: - [Die helläugige sprechende Puppe, die nur ein Spion sein könnte] (https://mobile.nytimes.com/2017/02/17/technology/cayla-talking-doll-hackers.html) - ['Intelligentes' Kinderspielzeug, das von Fremden gehackt werden kann] (http://www.kristv.com/story/36707236/6-investigates-smart-childrens-toys-vulnerable-to-hack-by-strangers)- [Das FBI warnt Eltern vor den Risiken von Spielzeug mit Internetverbindung, das Kinder ausspioniert] (http://www.slate.com/blogs/future_tense/2017/07/19/fbi_is_warning_parents_about_hacking_internet_connected_toys.html) - [Fehler bei intelligenten Spielzeugen machen HackingKinderinfo Kinderpl
Sechs antworten:
#1
+92
Anders
2017-10-31 20:13:39 UTC
view on stackexchange narkive permalink

Sei sehr, sehr vorsichtig. Es ist nicht KRACK, das das Problem ist, es ist eine nachlässige Einstellung zu Sicherheit und Datenschutz im Allgemeinen. Sogenannte "intelligente" Konsumgüter können häufig entführt, über das Internet abgerufen oder überwacht werden. Als Kunde ist es schwer zu wissen, ob ein bestimmtes Produkt sicher ist oder nicht.

Der norwegische Verbraucherrat ist seit einiger Zeit in diesem Fall und hat einige Entsetzen hervorgerufen Geschichten. Aus einem Bericht mit dem treffenden Titel #ToyFail über drei "intelligente" Puppen:

Bei der Überprüfung der Nutzungsbedingungen und Datenschutzrichtlinien der angeschlossenen Spielzeuge stellte das NCC fest ein allgemein beunruhigender Mangel an Rücksicht auf grundlegende Verbraucher- und Datenschutzrechte. [...]

Darüber hinaus sind die Bedingungen für die Vorratsdatenspeicherung im Allgemeinen vage und behalten sich das Recht vor, den Dienst jederzeit ohne ausreichenden Grund zu beenden. Darüber hinaus übertragen zwei der Spielzeuge personenbezogene Daten an einen kommerziellen Dritten, der sich das Recht vorbehält, diese Daten für praktisch jeden Zweck zu verwenden, unabhängig von der Funktionalität der Spielzeuge selbst.

[I] t wurde entdeckt, dass zwei der Spielzeuge praktisch keine eingebettete Sicherheit haben. Dies bedeutet, dass jeder innerhalb des Spielzeugs Zugang zum Mikrofon und den Lautsprechern erhalten kann, ohne physischen Zugang zu den Produkten zu benötigen. Dies ist eine schwerwiegende Sicherheitslücke, die an erster Stelle niemals in den Spielzeugen vorhanden sein sollte.

Und aus einem anderen ihrer Berichte, der wiederum treffend #WatchOut genannt wird , bei "intelligenten" Uhren für Kinder:

[D] Zwei der Geräte weisen Fehler auf, die es einem potenziellen Angreifer ermöglichen könnten, die Kontrolle über die Apps zu übernehmen und so in Echtzeit auf Kinder zuzugreifen historischer Ort und persönliche Daten sowie die Möglichkeit, die Kinder ohne Wissen der Eltern direkt zu kontaktieren.

Darüber hinaus übertragen einige Geräte personenbezogene Daten an Server in Nordamerika und Ostasien, in einigen Fällen ohne Verschlüsselung. Eine der Uhren fungiert auch als Abhörgerät, mit dem Eltern oder Fremde mit technischen Kenntnissen die Umgebung des Kindes akustisch überwachen können, ohne dass auf der physischen Uhr eindeutig angegeben ist, dass dies geschieht.

Und das FBI stimmt zu:

Intelligente Spielzeuge und Unterhaltungsgeräte für Kinder enthalten zunehmend Technologien, die ihr Verhalten basierend auf Benutzerinteraktionen lernen und anpassen. Diese Funktionen können die Privatsphäre und Sicherheit von Kindern aufgrund der großen Menge an persönlichen Informationen gefährden, die möglicherweise unabsichtlich weitergegeben werden.

Es sei denn, Sie haben ein echtes Bedürfnis (außer "dies ist" cool ") für diese Art von Produkten würde ich sagen, dass Ihr bester Ansatz darin besteht, sich einfach von ihnen fernzuhalten.

Kürzlich wurde festgestellt, dass eine solche Puppe so unsicher ist, dass sie in Deutschland als "verstecktes Spionagegerät" eingestuft (und verboten) wurde, siehe z.Diskussion über IoT https://iot.stackexchange.com/questions/1074/why-was-the-internet-connected-my-friend-cayla-doll-banned-as-a-hidden-espionag/1083#1083 (einer der beiden im 3. Absatz des # toyfail-Zitats genannten)
... und wenn Sie sie unbedingt haben müssen, tun Sie das Vernünftige und trennen Sie sie zumindest in einem eigenen Netzwerksegment, idealerweise ohne Zugriff (über das eines nicht vertrauenswürdigen Geräts auf dem Netzwerk hinaus)großes schlechtes Internet) zu irgendetwas anderem.Zumindest auf diese Weise begrenzen Sie den potenziellen Schaden etwas, wenn etwas passiert.
@Michael Kjörling, nein, nur NEIN.Anders hat gerade erklärt, dass diese "Puppe" ein Spionagegerät ist, das Zugang zum Internet haben muss, um funktionieren zu können.Ihre Privatsphäre scheint das Letzte zu sein, was auf der Liste der Puppenhersteller berücksichtigt werden muss.Das Vernünftige hier ist, keinen zu haben!
@Flummox Warum habe ich meinen Kommentar wohl so begonnen, wie ich es getan habe, einschließlich der Formatierung?Ich stimme dieser Antwort zu und es gibt keine Möglichkeit, selbst eine zu kaufen (aus diesem und anderen Gründen), aber ** genau dann, wenn ** jemand ein echtes Bedürfnis nach so etwas hat, dann gibt es immer nochSchritte, die unternommen werden können, um die Risiken ein wenig zu mindern.In einer solchen Situation wäre * zumindest das nicht zu tun * die Höhe der Verantwortungslosigkeit sowohl gegenüber Ihnen selbst, anderen in Ihrem Haushalt als auch anderen im Internet.
#2
+15
AJ Henderson
2017-10-31 20:04:35 UTC
view on stackexchange narkive permalink

Es hängt wirklich von Ihrem Bedrohungsmodell ab. Ich würde mir keine besonderen Sorgen machen, dass ein bestimmtes sexuelles Raubtier in Ihrer Nähe über die technischen Fähigkeiten verfügt, die erforderlich sind, um Krack zu verwenden, um dem Spielzeug eine Stimme zu verleihen. Wenn nicht der anfällige Linux-Treiber verwendet wird, funktioniert das Löschen der Schlüssel nicht und die teilweise Art des Kompromisses für ein allgemeines Zurücksetzen würde eine Sprachinjektion nahezu unmöglich machen.

Ebenso bietet es als Client-Gerät kein großes Sicherheitsrisiko, außer möglicherweise als Abhörgerät, je nachdem, ob es immer eingeschaltet oder per Knopfdruck aktiviert ist. Krack würde es nicht direkt als Einstiegspunkt in Ihr Netzwerk verwenden, daher sehe ich es nicht als besonders riskanteres Gerät als jedes andere IOT-Gerät.

Wie immer in Sachen Sicherheit kommt es zum Erliegen zu Ihrer Risikoaversion. Wenn ich persönlich dachte, dass es für mein Kind (das ebenfalls 3 Jahre alt ist) wertvoll wäre, würde ich die Auswirkungen auf die lokale Sicherheit nicht als Grund betrachten, es nicht für meine häusliche Umgebung zu bekommen. Ich würde mir mehr Sorgen um die Kontrollen und die Sicherheit auf der Webseite machen.

Mein Hauptanliegen bei IOT-Geräten ist nicht der lokale Kompromiss, sondern der Remote-Kompromiss mit Internetverbindung. Die Chancen einer ausreichend qualifizierten und motivierten böswilligen Person in Ihrer direkten Umgebung sind ziemlich gering. Die Wahrscheinlichkeit, dass ein motivierter und böswilliger Benutzer im Internet versucht, remote auf das IOT-Gerät zuzugreifen, ist erheblich höher und es ist wichtig zu verstehen, welche Lücken die Geräte in Ihrem Netzwerkschutz haben.

Auch, weil Michael so freundlich war Um darauf hinzuweisen, dass die Interessen eines so breiten Hackers viel weniger mit Ihrer Privatsphäre zu tun haben und viel eher an Angriffen auf Ihre anderen Computer oder auf die Rechenfähigkeiten des Geräts als Angriffsbot interessiert sind.

Beachten Sie auch die Unterscheidung darüber, auf was ein entfernter Angreifer zugreifen möchte.Angenommen, Sie sind kein hochkarätiges Ziel (und wenn ja, wissen Sie wahrscheinlich besser, als zufälligen Fremden im Internet Sicherheitshinweise zu vertrauen), ist es ziemlich unwahrscheinlich, dass ein entfernter Angreifer Zugriff auf ein IoT-Gerät erhält (auch auf eines)das aus der Ferne in ein aktives Mikrofon und einen aktiven Lautsprecher oder eine aktive Kamera in Ihrem Zuhause verwandelt werden kann) ist besonders an * Ihnen * interessiert.Es ist umso wahrscheinlicher, dass sie an dem Gerät selbst interessiert sind, z.für seine Rechenleistung oder Netzwerkkonnektivität.
Als Reaktion auf Ihre Bearbeitung habe ich fairerweise nicht unbedingt daran gedacht, das Gerät als Angriffsbot zu verwenden, obwohl dies eine offensichtliche Sache sein könnte (denken Sie zum Beispiel an Mirai und den DNS-Überlastungsangriff gegen Twitter und Freunde in letzter Zeit).Denken Sie auch z.B.Bitcoin-Mining oder Versenden von Spam-E-Mails.Sicher, ein Spielzeug wie das in der Frage veranschaulichte hat wahrscheinlich nicht genug Rechenleistung, um einen großen Unterschied zu machen, aber wenn die Kosten für den Angreifer nahe Null sind, muss es nicht viel tun, um a zu drehenProfitieren Sie, besonders wenn Tausende von ihnen für Sie arbeiten ...
Es gab kürzlich einen Dokumentarfilm (BBC, wenn das Gedächtnis mir richtig dient), der die Geschichte einer älteren Frau zeigt, die einem Betrüger ans Telefon ging und überzeugt war, ihnen einen großen Geldbetrag zu überweisen.Der Schlüssel zum Betrug war die Verwendung der Kamera und des Mikrofons auf ihrem Laptop während des Anrufs.Wenn ein solches Gerät wie dieses "Spielzeug" leichter einzubrechen ist als eine (vermutlich) Windows-Maschine, wird dies nur ein Beispiel, bei dem ein Exploit dieses Typs die Risikofläche vergrößert
#3
+12
Machavity
2017-10-31 23:09:50 UTC
view on stackexchange narkive permalink

Willkommen im Internet der Dinge (IoT). Das ist eine ... Sache. Daher kann es assimiliert werden

Mirai ist eine Art von Malware, die automatisch Internet-of-Things-Geräte findet, um sie zu infizieren, und sie in ein Botnetz - eine Gruppe von Computergeräten - einbindet Das kann zentral gesteuert werden.

Und

Ein Grund, warum Mirai so schwer einzudämmen ist, ist, dass es auf Geräten lauert und sich im Allgemeinen nicht merklich auswirkt ihre Leistung. Es gibt keinen Grund, warum ein durchschnittlicher Benutzer jemals glauben würde, dass seine Webcam - oder eher die eines kleinen Unternehmens - möglicherweise Teil eines aktiven Botnetzes ist. Und selbst wenn es so wäre, könnten sie nicht viel dagegen tun, da sie keine direkte Möglichkeit haben, mit dem infizierten Produkt in Kontakt zu treten.

Das Problem ist, dass Sicherheit bei der Herstellung von Spielzeug wie Dies. Die Technologie, mit der all dies funktioniert, ist ziemlich einfach, aber die Unternehmen werden nicht dafür bezahlt, darüber nachzudenken. Es ist ein Kinderspielzeug. Es soll billig und einfach sein. Und Sie bekommen, wofür Sie bezahlen.

Anfang dieses Jahres wurde festgestellt, dass ein ähnliches Kinderspielzeug überhaupt keine Sicherheit hatte (Hervorhebung von mir)

Ein Hersteller von mit dem Internet verbundenen Stofftierspielzeugen hat mehr als 2 Millionen Sprachaufzeichnungen von Kindern und Eltern sowie E-Mail-Adressen und Passwortdaten für mehr als 800.000 Konten veröffentlicht.

Die Kontodaten wurden in einer öffentlich zugänglichen Datenbank gespeichert, die nicht durch ein Passwort geschützt oder hinter einer Firewall abgelegt wurde. Dies geht aus einem Blog-Beitrag hervor, der am Montag von Troy Hunt, dem Betreuer der Verletzung "Wurde ich pwned?" Veröffentlicht wurde -Nachrichtungswebsite. Er sagte, Suchanfragen mit der Shodan-Computersuchmaschine und andere Beweise zeigten, dass seit dem 25. Dezember und dem 8. Januar mehrere Parteien, einschließlich Krimineller, die die Daten letztendlich als Lösegeld hielten, mehrmals auf die Kundendaten zugegriffen hatten. Die Aufzeichnungen waren auf einem von Amazon gehosteten Dienst verfügbar, für den keine Zugriffsberechtigung erforderlich war.

Ich werde ehrlich sein. Diese Dinge sind beängstigend mächtig in dem, was sie tun können. Auch wenn Ihre Nachrichten dadurch nicht offengelegt werden, kann sie dennoch für böswillige Zwecke wie einen DDOS-Angriff verwendet werden. Wenn ich Sie wäre, würde ich so etwas weitergeben, es sei denn, die Sicherheit hat etwas Explizites .

Egal, welche Bedrohungen für die nationale Sicherheit bestehen.Wenn * jedes * Gespräch in einer ausreichend großen Stichprobe von Haushalten aufgezeichnet und digitalisiert wird, biegt es nicht wirklich daran, dass Daten in zukünftigen Strafverfolgungen für Verbrechen gegen den Staat verwendet werden.Wenn es für das Erlernen von KI-Sprachen vorgelagert wird (beispielsweise an Google oder AWS verkauft), könnte es sinnvoll sein, Sprachen zu erhalten, die in Zukunft sterben?
#4
+7
Ángel
2017-11-01 22:29:50 UTC
view on stackexchange narkive permalink

Dies ist so ziemlich die gleiche Art von Spielzeug wie CloudPets. Das waren Spielzeuge, mit denen man mit den Kindern (Spielzeug) über eine mobile App sprechen konnte. Die Sicherheit war schrecklich. Es stellte sich heraus, dass sowohl die Benutzerdetails als auch die Haustieraufzeichnungen in Datenbanken ohne Passwort verfügbar waren. Und das Unternehmen hat nicht einmal auf die E-Mails geantwortet, um sie auf die Sicherheitslücken aufmerksam zu machen.

Sie können diese schreckliche Geschichte im Troy Hunt-Blog einsehen: https://www.troyhunt.com/data -von-verbundenen-Cloudpets-Teddybären-durchgesickert-und-Lösegeld-entlarvt-Kinder-Sprachnachrichten /

Nun, Talkies haben möglicherweise tatsächlich die richtigen Entscheidungen getroffen (es ist schwer zu treffen) mache so viele Dinge falsch wie CloudPets!), aber dies zeigt das Sicherheitsniveau dieses Sektors.

Also nein, ich würde diesem Spielzeug meine Kinderdaten nicht anvertrauen. Ganz zu schweigen davon, wie das Spielzeug selbst kompromittiert werden könnte (z. B. Hallo Barbie).

Tatsächlich hat Deutschland die mit dem Internet verbundenen Cayla-Puppen aus Angst vor ihnen verboten könnte ausgenutzt werden, um Kinder anzusprechen: https://www.telegraph.co.uk/news/2017/02/17/germany-bans-internet-connected-dolls-fears-hackers-could-target/

#5
+5
baldPrussian
2017-10-31 22:22:05 UTC
view on stackexchange narkive permalink

Internet-fähiges alles birgt ein Risiko. Sicherheit ist in der Regel eine Ausgabe, und die Verbraucher insgesamt berücksichtigen die Produktsicherheit bei Kaufentscheidungen nicht wirklich. Zum Beispiel gab es kürzlich auf Reddit einen Thread über ein Ehepaar, das geschieden wurde und das Passwort für den Nest-Thermostat nicht geändert hat. Während sie unterwegs war, drehte er die Klimaanlage oder die Heizung auf und verursachte massive Stromrechnungen. Wir kennen auch Babyphone, mit denen Nachbarn ohne deren Zustimmung abgehört wurden. Ich habe an IT-Sicherheitsdemos von mit dem Internet verbundenen Lichtschaltern teilgenommen und gezeigt, wie einfach es war, sie anzugreifen.

krack ist definitiv wichtig, aber im Vergleich zu einer nicht vorhandenen Sicherheitslage ist dies irrelevant. Ganz einfach, wenn jemand Bedenken hinsichtlich der Sicherheit hat, würde ich vorschlagen, nichts netzwerkfähiges zu kaufen, es sei denn, er kann feststellen, dass eine Netzwerkverbindung erforderlich ist, und er verfügt über die Fähigkeiten, sowohl diese als auch sein Netzwerk ordnungsgemäß zu sichern.

WRT Ihr vertrauenswürdiger Telefonkreis: Wie oft möchten Sie diese Liste verwalten? Was bedeutet es, diesem vertrauenswürdigen Kreis beizutreten? Wissen Sie, wann Ihre Freunde ihre Telefone zurückverkaufen, damit Sie sie aus Ihrem Kreis entfernen können? (Wenn Ihre Antwort auf die letzte nicht "Nein" lautet, sind Sie mit sich selbst wahrscheinlich nicht realistisch.)

Fördern Sie die Kreativität. Fähigkeiten aufbauen. Holen Sie dem Kind ein paar Bausteine ​​oder einen Zug. Holen Sie sich einen Spirographen. Spielen Sie Karten / Spiele mit ihnen. Finden Sie etwas, mit dem sie stundenlang spielen, ohne dass Sie ständig darauf achten müssen.

#6
+3
user1258361
2017-11-01 09:44:15 UTC
view on stackexchange narkive permalink

Dies setzt das "IOT" in "IDIOT!".

Die meisten Unternehmen, die diese herstellen, haben keine Ahnung, wie sie verhindern können, dass Hacker sie übernehmen, und programmieren manchmal komisch dumme / offensichtliche Exploits in sie

Der KRACK-Exploit ist möglicherweise die Hälfte der Zeit irrelevant, da die meisten dieser Hersteller nicht herausfinden würden, wie eine Form der Verschlüsselung implementiert werden kann.

Jede Art von internetfähiger Sprachaufzeichnung ist möglicherweise gruselig und geradezu gefährlich Verletzung der Privatsphäre. Diese Geräte verwenden die Cloud wahrscheinlich für die Soundverarbeitung und -speicherung, da sie mit ziemlicher Sicherheit auf minderwertigen ARM-Chips und höchstens minimal billigem Flash-Speicher basieren.

Selbst wenn das Gerät ordnungsgemäß hergestellt wird, gibt es keine ähnliche Garantie auf der Cloud-App, die es verwendet. Sie wären überrascht, wie oft Forscher auf wertvolle Datenreste in der Cloud stoßen, die der vorherige Benutzer einer logischen Maschineninstanz nicht bereinigen konnte.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...