De nouveaux cas de pirates informatiques ciblant des jouets connectés prouvent qu'ils restent dangereux

De nouveaux cas de pirates informatiques ciblant des jouets connectés prouvent qu'ils restent dangereux / Sécurité

Cela devient un sujet annuel: quelques semaines après Noël, quelqu'un découvre qu'un “incroyable” Les jouets connectés représentent en fait un risque énorme pour la sécurité et la vie privée, avec la sécurité - et même potentiellement la vie - des enfants mis en danger..

Et pourtant, personne ne semble être proactif en acceptant la responsabilité.

Vos enfants utilisent-ils des jouets en ligne, qui se connectent à votre réseau sans fil domestique? Si oui, ce qui suit peut vous préoccuper énormément…

L'Allemagne interdit de parler à la poupée Cayla

En février 2017, les autorités allemandes ont décidé d'interdire la vente de la poupée parlante populaire baptisée “Cayla”. On a même conseillé aux parents de détruire leurs jouets, bien que la décision de faire appliquer cette mesure n’ait pas été prise..

L'interdiction a été inspirée par une démonstration de validation de principe d'une vulnérabilité du jouet, disponible dans le monde entier..

Cayla est une idée mignonne. Mise en ligne via Bluetooth et un téléphone intelligent avec accès Internet, la poupée répond aux questions en utilisant la reconnaissance vocale et Google. Selon le chien de garde des télécommunications allemand, les conversations entre enfants et autres personnes à portée de la poupée peuvent être enregistrées… ou même transférées ailleurs.

“Une entreprise peut également utiliser les jouets pour cibler l’enfant ou les parents avec de la publicité. En outre, si le lien radio n’est pas correctement sécurisé par le fabricant, le jouet peut être utilisé par des tiers pour échanger des conversations..”

Mais quel est le vrai problème ici? Un jouet qui apporte des réponses est certainement un excellent moyen d’apprentissage pour les enfants? Eh bien, c'est l'exécution: la connexion Bluetooth non sécurisée, fondamentalement. En bref, il s'agit d'une réduction des coûts - opter pour un raccourci plutôt que de s'assurer de la robustesse d'un jouet susceptible de changer la vie.

Est-ce que vous ou vos enfants possédez une poupée Cayla? Nous suggérons de détruire un tel dispositif, c'est exagéré. Mais si vous êtes préoccupé par sa capacité à conserver des détails de confidentialité, nous vous conseillons de le désactiver. Parce que, évidemment, tout ce qui enregistre voix et conversations constitue un risque, non seulement pour les enfants, mais pour toute la famille..

Base de données Hack Leaks Recordings of Children

Avez-vous acheté un CloudPet pour votre progéniture, ou les descendants d'un ami, à Noël dernier?

C’est un jouet qui a été au centre d’une fuite de données épouvantable, dans lequel les voix de leurs propriétaires (et de leurs amis et familles) ont été enregistrées, stockées dans une base de données non sécurisée et ensuite divulguées en ligne..

Juste pour clarifier, ce sont 2 millions d’enregistrements qui ont été piratés. Oh, et ils ont ensuite été condamnés à rançon, tout cela parce que le fabricant de CloudPets, Spiral Toys, a réduit les coûts, le temps et les efforts nécessaires et a stocké les données (nous ne verrons pas si elles auraient dû les enregistrer pour l'instant) dans une base de données MongoDB.

(Le problème avec MongoDB est qu’il n’est pas sécurisé par défaut. Des mesures supplémentaires doivent être prises pour sécuriser les données stockées de cette manière.)

Mais cela empire. Le chercheur en sécurité Troy Hunt a tenté à plusieurs reprises de contacter CloudPets pour mettre en évidence le piratage, ainsi que le manque de sécurité au sein des jouets eux-mêmes (mots de passe non masqués à trois caractères), données de test, stockage et production ainsi que sites Web stockés sur le même serveur. )

Toute cette histoire regrettable comprend une demande de Bitcoin de restituer les données, une entreprise qui refuse de communiquer avec les enquêtes de chercheurs et de la presse, et un groupe de parents ignorant que le jouet préféré de leur enfant constitue un risque pour la sécurité en ligne. Au moment de la rédaction de cet article, CloudPets et Spiral Toys n’ont pas informé les parents de problèmes.

Que vous pensiez que les données enregistrées et divulguées par la suite constituaient un problème ou non, une entreprise qui refuse de dialoguer avec qui que ce soit sur des questions comme celle-ci n'en est pas une avec les produits que vous devriez utiliser..

Nous avons tout vu avant

Le problème avec tout cela, c'est que, malheureusement, rien n'est nouveau. Comme le secteur naissant de la maison intelligente 5 Problèmes de sécurité à prendre en compte lors de la création de votre maison intelligente 5 Problèmes de sécurité à prendre en compte lors de la création de votre maison intelligente De nombreuses personnes tentent de connecter autant de domaines de leur vie que possible au Web, mais beaucoup ont exprimé de véritables préoccupations. sur la sécurité de ces espaces de vie automatisés. En savoir plus - dont les jouets connectés sont une extension, certes - les produits semblent avoir été assemblés, sans grande considération pour des concepts tels que la sécurité et la confidentialité.

Non, ici les seuls concepts qui intéressent les concepteurs sont le profit et les faibles coûts de fabrication..

En 2015, nous avons vu comment les drones quadricoptères sans fil pourraient être piratés. Un malware de Quadcopter prouve que les jouets connectés sont un risque pour la sécurité Les malwares d'un quadricoptère prouvent que les jouets Connectés sont un risque pour la sécurité Nous avons appris récemment qu'un logiciel malveillant gauche des parents soucieux de la sécurité concernés. Lisez plus avec un logiciel relativement simple.

Après un an d'avance, il est devenu évident que non seulement le géant de l'électronique pour enfants VTech avait été piraté (avec la perte de 6 millions de comptes de données pour enfants, VTech se fait pirater, prises casque Apple Hates… [Tech News Digest] VTech se fait pirater, Apple déteste Headphone Jacks… [Tech News Digest] Les pirates exposent les utilisateurs de VTech, Apple envisage de supprimer la prise de casque, les lumières de Noël peuvent ralentir votre connexion Wi-Fi, Snapchat se couche avec (RED) et se souvient de The Star Wars Holiday Special. VTech: jouer en vrac avec les données de ses enfants VTech: jouer en vrac avec les données de vos enfants VTech, société hongkongaise, a mis à jour ses conditions générales à la suite d'une importante faille de sécurité en 2015, se déplaçant le fardeau de la responsabilité incombe aux parents et aux personnes qui s'en occupent. Lire la suite .

À chacune de ces occasions, nous avons mis en évidence des moyens de garantir la sécurité de vos données - et de celles de vos enfants - Cinq méthodes pour garantir la confidentialité de vos données personnelles Cinq méthodes pour garantir la sécurité de vos données personnelles Vos données, c'est vous. Qu'il s'agisse d'une collection de photographies que vous avez prises, d'images que vous avez développées, de rapports que vous avez écrits, d'histoires que vous avez imaginées ou de musiques que vous avez rassemblées ou composées, cela raconte une histoire. Protege le. Lire la suite . Nous avons également suggéré d'exiger davantage des fabricants de jouets intelligents. En termes simples, si un jouet connecté ne répond pas aux exigences de base en matière de sécurité et de confidentialité (transfert de données sécurisé, protection par mot de passe) et que ses fabricants ne peuvent pas offrir de stockage sécurisé des données collectées, vous devez oublier ce jouet en particulier et passer au suivant..

Ça s'améliore

Heureusement, les choses changent, tout comme sur le marché de la maison intelligente. Les fabricants reconnaissent le besoin de sécurité et de confidentialité et publient de nouveaux appareils plus robustes. Mais gardez un œil sur le matériel moins cher, qui comprend du matériel et des microprogrammes plus anciens. C’est là que les problèmes persisteront dans les années à venir, les fabricants tentant de vendre des stocks plus anciens et moins sûrs pour une fraction du prix..

Avez-vous un jouet connecté qui vous préoccupe? Peut-être estimez-vous qu'il n'y a pas de risque? Dites-nous vos idées ci-dessous.

Crédit d'image: Sergey Chmel via Shutterstock.com

Explorer plus sur: Confidentialité en ligne, Sécurité en ligne, Surveillance, Jouets.