it-swarm.com.de

Wie sicher sind wifi-fähige Sprechspielzeuge?

Vor kurzem wurden im Radio Anzeigen für ein wifi-fähiges Spielzeug namens Talkies geschaltet, die als Kommunikation mit App-fähigen Telefonen mit einem "vertrauenswürdigen Kreis" beworben werden, zu dem andere Telefone hinzugefügt werden können.

(Obligatorisches Foto eines niedlichen wifi-fähigen Lebewesens) enter image description here

Besonders in Anbetracht der Krack-Verwundbarkeit und des bekannten Prozesses von " Pflege " eines Kindes, das ein sexuelles oder anderes Raubtier durchläuft, um sein Vertrauen zu gewinnen und es auszunutzen ( ) Hier ist eine Geschichte darüber, wie Snapchat verwendet wurde), ist dies ein Spielzeug, von dem ich für mein Kind Abstand nehmen sollte? (Derzeit 3 ​​Jahre alt)

50
JohnP

Sei sehr, sehr vorsichtig. Es ist nicht KRACK, das das Problem ist, es ist eine nachlässige Einstellung zu Sicherheit und Datenschutz im Allgemeinen. Sogenannte "intelligente" Konsumgüter können häufig entführt, über das Internet abgerufen oder überwacht werden. Als Kunde ist es schwer zu wissen, ob ein bestimmtes Produkt sicher ist oder nicht.

Der norwegischer Verbraucherrat ist seit einiger Zeit in der Sache und hat einige Horrorgeschichten produziert. Aus einem Bericht mit dem treffenden Titel # ToyFail über drei "intelligente" Puppen:

Bei der Prüfung der Nutzungsbedingungen und Datenschutzrichtlinien der angeschlossenen Spielzeuge stellte das NCC einen allgemein beunruhigenden Mangel an Rücksicht auf grundlegende Verbraucher- und Datenschutzrechte fest. [...]

Darüber hinaus sind die Bedingungen für die Vorratsdatenspeicherung im Allgemeinen vage und behalten sich das Recht vor, den Dienst jederzeit ohne ausreichenden Grund zu beenden. Darüber hinaus übertragen zwei der Spielzeuge personenbezogene Daten an einen kommerziellen Dritten, der sich das Recht vorbehält, diese Daten für praktisch jeden Zweck zu verwenden, unabhängig von der Funktionalität der Spielzeuge selbst.

[I] t wurde entdeckt, dass zwei der Spielzeuge praktisch keine eingebettete Sicherheit haben. Dies bedeutet, dass jeder Zugriff auf das Mikrofon und die Lautsprecher im Spielzeug erhalten kann, ohne dass ein physischer Zugriff auf die Produkte erforderlich ist. Dies ist eine schwerwiegende Sicherheitslücke, die in den Spielzeugen überhaupt nicht vorhanden sein sollte.

Und aus einem anderen ihrer Berichte mit dem treffenden Namen # WatchOut über "intelligente" Uhren für Kinder:

[T] Zwei der Geräte weisen Fehler auf, die es einem potenziellen Angreifer ermöglichen könnten, die Kontrolle über die Apps zu übernehmen, um so auf den Echtzeit- und historischen Standort und die persönlichen Daten der Kinder zuzugreifen und ihnen sogar die Möglichkeit zu geben, die Kinder direkt zu kontaktieren ohne das Wissen der Eltern.

Darüber hinaus übertragen mehrere Geräte personenbezogene Daten an Server in Nordamerika und Ostasien, in einigen Fällen ohne Verschlüsselung. Eine der Uhren fungiert auch als Abhörgerät, mit dem Eltern oder Fremde mit technischen Kenntnissen die Umgebung des Kindes akustisch überwachen können, ohne dass auf der physischen Uhr eindeutig angegeben ist, dass dies geschieht.

Und das FBI stimmt z :

Intelligentes Spielzeug und Unterhaltungsgeräte für Kinder enthalten zunehmend Technologien, die ihr Verhalten basierend auf Benutzerinteraktionen lernen und anpassen. Diese Funktionen können die Privatsphäre und Sicherheit von Kindern aufgrund der großen Menge an persönlichen Informationen gefährden, die möglicherweise unabsichtlich weitergegeben werden.

Wenn Sie also kein echtes Bedürfnis (außer "das ist cool") nach solchen Produkten haben, würde ich sagen, dass Ihr bester Ansatz darin besteht, sich einfach von ihnen fernzuhalten.

92
Anders

Es hängt wirklich von Ihrem Bedrohungsmodell ab. Ich würde mir keine besonderen Sorgen machen, dass ein bestimmtes sexuelles Raubtier in Ihrer Nähe über die technischen Fähigkeiten verfügt, die erforderlich sind, um Krack zu verwenden, um dem Spielzeug eine Stimme zu verleihen. Wenn nicht der anfällige Linux-Treiber verwendet wird, funktioniert das Löschen der Schlüssel nicht und die teilweise Art des Kompromisses für ein allgemeines Zurücksetzen würde eine Sprachinjektion nahezu unmöglich machen.

In ähnlicher Weise bietet es als Client-Gerät kein großes Sicherheitsrisiko, außer möglicherweise als Abhörgerät, je nachdem, ob es immer eingeschaltet ist oder per Knopfdruck aktiviert wird. Krack würde es nicht direkt als Einstiegspunkt in Ihr Netzwerk verwenden, daher sehe ich es nicht als besonders riskanteres Gerät als jedes andere IOT-Gerät.

Wie immer in Sachen Sicherheit kommt es jedoch auf Ihre Risikoaversion an. Persönlich, wenn ich dachte, dass es für mein Kind (das auch 3 Jahre alt ist) wertvoll wäre, würde ich die Auswirkungen auf die lokale Sicherheit nicht als Grund betrachten, es nicht für meine häusliche Umgebung zu bekommen. Ich würde mir mehr Sorgen um die Kontrollen und die Sicherheit auf der Webseite machen.

Mein Hauptanliegen bei IOT-Geräten ist nicht der lokale Kompromiss, sondern der mit dem Internet verbundene Remote-Kompromiss. Die Chancen einer ausreichend qualifizierten und motivierten böswilligen Person in Ihrer direkten Umgebung sind ziemlich gering. Die Wahrscheinlichkeit, dass ein motivierter und böswilliger Benutzer im Internet versucht, remote auf das IOT-Gerät zuzugreifen, ist erheblich höher, und es ist wichtig zu verstehen, welche Lücken die Geräte in Ihrem Netzwerkschutz haben.

Wie Michael freundlicherweise hervorhob, sind die Interessen eines so breiten Hackers viel weniger mit Ihrer Privatsphäre verbunden und eher mit Angriffen auf Ihre anderen Computer oder mit den Rechenfähigkeiten des Geräts als Angriffsbot.

15
AJ Henderson

Willkommen im Internet der Dinge (IoT). Das ist eine ... Sache. Daher kann es assimiliert sein

Mirai ist eine Art von Malware, die Internet-of-Things-Geräte automatisch findet, um sie zu infizieren, und sie in ein Botnetz einbindet - eine Gruppe von Computergeräten, die zentral gesteuert werden können.

Und

Ein Grund, warum Mirai so schwer einzudämmen ist, ist, dass es auf Geräten lauert und deren Leistung im Allgemeinen nicht merklich beeinträchtigt. Es gibt keinen Grund, warum ein durchschnittlicher Benutzer jemals glauben würde, dass seine Webcam - oder eher die eines kleinen Unternehmens - möglicherweise Teil eines aktiven Botnetzes ist. Und selbst wenn es so wäre, könnten sie nicht viel dagegen tun, da sie keine direkte Möglichkeit hätten, mit dem infizierten Produkt in Kontakt zu treten.

Das Problem ist, dass Sicherheit bei der Herstellung solcher Spielzeuge selten eine Rolle spielt. Die Technologie, mit der all dies funktioniert, ist ziemlich einfach, aber die Unternehmen werden nicht dafür bezahlt, darüber nachzudenken. Es ist ein Kinderspielzeug. Es soll billig und einfach sein. Und Sie bekommen, wofür Sie bezahlen.

Anfang dieses Jahres wurde festgestellt, dass ein ähnliches Kinderspielzeug hatte überhaupt keine Sicherheit (Hervorhebung von mir)

Ein Hersteller von mit dem Internet verbundenen Stofftierspielzeugen hat mehr als 2 Millionen Sprachaufzeichnungen von Kindern und Eltern sowie E-Mail-Adressen und Passwortdaten für mehr als 800.000 Konten veröffentlicht.

Die Kontodaten wurden in einer öffentlich zugänglichen Datenbank gespeichert, die nicht durch ein Passwort geschützt oder hinter einer Firewall abgelegt wurde. Dies geht aus einem Blogbeitrag hervor, der am Montag von veröffentlicht wurde Troy Hunt, Betreuer der Website "Have I Been Pwned?" Er sagte, Durchsuchungen mit der Shodan-Computersuchmaschine und andere Beweise zeigten, dass seit dem 25. Dezember und dem 8. Januar mehrere Parteien, einschließlich Krimineller, die die Daten letztendlich als Lösegeld hielten, mehrmals auf die Kundendaten zugegriffen hatten. Die Aufzeichnungen waren auf einem von Amazon gehosteten Dienst verfügbar, für dessen Zugriff keine Berechtigung erforderlich war.

Ich werde ehrlich sein. Diese Dinge sind beängstigend mächtig in dem, was sie tun können. Auch wenn Ihre Nachrichten dadurch nicht offengelegt werden, kann sie dennoch für böswillige Zwecke wie einen DDOS-Angriff verwendet werden. Wenn ich Sie wäre, würde ich so etwas weitergeben, es sei denn, es gibt etwas Explizites über Sicherheit.

12
Machavity

Dies ist so ziemlich die gleiche Art von Spielzeug wie CloudPets. Das waren Spielzeuge, mit denen man mit den Kindern (Spielzeug) über eine mobile App sprechen konnte. Die Sicherheit war schrecklich. Es stellte sich heraus, dass sowohl die Benutzerdetails als auch die Haustieraufzeichnungen in Datenbanken ohne Passwort verfügbar waren. Und das Unternehmen antwortete nicht einmal auf die E-Mails, um sie auf die Sicherheitslücken aufmerksam zu machen.

Sie können über diese schreckliche Geschichte auf Troy Hunt Blog sehen: https://www.troyhunt.com/data-from-connected-cloudpets-teddy-bears-leaked-and-ransomed-exposing-kids-voice- Nachrichten /

Nun, Talkies haben vielleicht tatsächlich die richtigen Entscheidungen getroffen (es ist schwierig, so viele Dinge falsch zu machen wie CloudPets!), Aber dies zeigt das Sicherheitsniveau dieses Sektors.

Also nein, ich würde diesem Spielzeug meine Kinderdaten nicht anvertrauen. Ganz zu schweigen davon, wie das Spielzeug selbst kompromittiert werden könnte (z. B. Hallo Barbie ).

Tatsächlich ging Deutschland so weit, die mit dem Internet verbundenen Cayla-Puppen zu verbieten, weil befürchtet wurde, sie könnten für Kinder ausgenutzt werden: https://www.telegraph.co.uk/news/2017/02/17/germany- Verbote-Internet-verbundene-Puppen-Ängste-Hacker-könnten-zielen /

7
Ángel

Internet-fähig alles birgt ein Risiko. Sicherheit ist in der Regel eine Ausgabe, und die Verbraucher insgesamt berücksichtigen die Produktsicherheit bei Kaufentscheidungen nicht wirklich. Zum Beispiel gab es kürzlich in Reddit einen Thread über ein Ehepaar, das geschieden wurde und das Passwort für den Nest-Thermostat nicht geändert hat. Während sie unterwegs war, drehte er die Klimaanlage oder die Heizung auf und verursachte massive Stromrechnungen. Wir kennen auch Babyphone, mit denen Nachbarn ohne deren Zustimmung abgehört wurden. Ich habe an IT-Sicherheitsdemos von mit dem Internet verbundenen Lichtschaltern teilgenommen und gezeigt, wie einfach es war, sie anzugreifen.

krack ist definitiv wichtig, aber im Vergleich zu einer nicht existierenden Sicherheitslage ist dies irrelevant. Ganz einfach, wenn jemand Bedenken hinsichtlich der Sicherheit hat, würde ich vorschlagen, nichts netzwerkfähiges zu kaufen, es sei denn, er kann feststellen, dass eine Netzwerkverbindung erforderlich ist, und er verfügt über die Fähigkeiten, sowohl diese als auch sein Netzwerk ordnungsgemäß zu sichern.

Schreiben Sie Ihren vertrauenswürdigen Telefonkreis: Wie oft möchten Sie diese Liste verwalten? Was bedeutet es, diesem vertrauenswürdigen Kreis beizutreten? Wissen Sie, wann Ihre Freunde ihre Telefone zurückverkaufen, damit Sie sie aus Ihrem Kreis entfernen können? (Wenn Ihre Antwort auf die letzte nicht "Nein" lautet, sind Sie mit sich selbst wahrscheinlich nicht realistisch.)

Kreativität fördern. Fähigkeiten aufbauen. Holen Sie dem Kind ein paar Bausteine ​​oder einen Zug. Holen Sie sich einen Spirographen. Spielen Sie Karten/Spiele mit ihnen. Finden Sie etwas, mit dem sie stundenlang spielen, ohne dass Sie ständig darauf achten müssen.

5
baldPrussian

Dies setzt das "IOT" in "IDIOT!".

Die meisten Unternehmen, die diese Produkte herstellen, haben keine Ahnung, wie sie verhindern können, dass Hacker sie übernehmen, und programmieren manchmal komisch dumme/offensichtliche Exploits in sie hinein.

Der KRACK-Exploit ist möglicherweise die Hälfte der Zeit irrelevant, da die meisten dieser Hersteller nicht herausfinden würden, wie eine Form der Verschlüsselung implementiert werden kann.

Jede Art von internetfähiger Sprachaufzeichnung ist möglicherweise eine gruselige und geradezu gefährliche Verletzung der Privatsphäre. Diese Geräte verwenden wahrscheinlich die Cloud für die Soundverarbeitung und -speicherung, da sie mit ziemlicher Sicherheit auf minderwertigen ARM-Chips) und höchstens minimal billigem Flash-Speicher basieren.

Selbst wenn das Gerät ordnungsgemäß hergestellt wurde, gibt es keine ähnliche Garantie für die verwendete Cloud-App. Sie wären überrascht, wie oft Forscher auf wertvolle Datenreste in der Cloud stoßen, die der vorherige Benutzer einer logischen Maschineninstanz nicht bereinigen konnte.

3
user1258361