启用 wifi 的说话玩具有多安全?

信息安全 无线的 物联网
2021-08-31 13:50:53

最近电台上有一个名为Talkies的支持 wifi 的玩具的广告,它被宣传为能够与支持应用程序的手机进行通信,并带有一个可以添加其他手机的“可信圈”。

(一个可爱的启用 wifi 的小动物的强制性照片) 在此处输入图像描述

特别是考虑到Krack 漏洞,以及已知的“修饰”孩子的过程,性或其他掠夺者通过这些过程来获得他们的信任并利用他们(这是一个关于如何使用 Snapchat的故事),这是我应该做的玩具吗?远离我的孩子?(目前3岁)

4个回答

非常非常小心。问题不是 KRACK,而是总体上对安全和隐私的松懈态度。所谓的“智能”消费产品通常会被劫持、从互联网访问或监控。作为客户,很难知道任何特定产品是否安全。

挪威消费者委员会已经持续一段时间的情况下,并产生了一些恐怖故事。来自一份名为#ToyFail的报告,关于三个“智能”娃娃:

在审查联网玩具的使用条款和隐私政策时,NCC 发现普遍缺乏对基本消费者和隐私权的关注,令人不安。[...]

此外,这些条款通常对数据保留含糊不清,并保留在没有充分理由的情况下随时终止服务的权利。此外,其中两个玩具将个人信息传输给商业第三方,该第三方保留将这些信息用于几乎任何目的的权利,与玩具本身的功能无关。

[我]发现其中两个玩具几乎没有嵌入式安全性。这意味着任何人都可以使用玩具中的麦克风和扬声器,而无需物理访问产品。这是一个严重的安全漏洞,本来就不应该出现在玩具中。

从他们的另一份报告中,再次恰当地命名为#WatchOut,关于儿童“智能”手表:

[T] 两个设备存在缺陷,可能允许潜在的攻击者控制应用程序,从而获得儿童的实时和历史位置以及个人详细信息,甚至使他们能够直接与儿童联系,所有这些在父母不知情的情况下。

此外,一些设备将个人数据传输到位于北美和东亚的服务器,在某些情况下没有任何加密。其中一只手表还可以用作监听设备,允许父母或具有一定技术知识的陌生人通过音频监控孩子的周围环境,而物理手表上没有任何明确的迹象表明正在发生这种情况。

联邦调查局同意

儿童智能玩具和娱乐设备越来越多地采用基于用户交互来学习和定制行为的技术。由于大量个人信息可能会在不知不觉中泄露,这些功能可能会使儿童的隐私和安全面临风险。

因此,除非您对这类产品有真正的需求(除了“这很酷”),否则我会说您最好的方法是远离它们。

这实际上取决于您的威胁模型。我不会特别担心您所在地区的特定性掠食者拥有利用 Krack 将声音注入玩具所需的技术技能。除非它使用易受攻击的 Linux 驱动程序,否则密钥清除将不起作用,并且一般重置的妥协的部分性质将使语音注入几乎不可能。

同样,作为客户端设备,除了可能作为监听设备外,它不会提供很多安全风险,具体取决于它是始终打开还是通过按下按钮激活。Krack 不会让它直接用作您网络的入口点,所以我不认为它是比任何其他物联网设备特别危险的设备。

与往常一样,这取决于您的风险厌恶程度。就个人而言,如果我认为这对我的孩子(也是 3 岁)很有价值,我认为我不会将当地的安全影响作为不为我的家庭环境购买它的理由。我会更关心网络端的控制和安全性。

我对物联网设备的主要关注不是本地妥协,而是网络连接的远程妥协。一个足够熟练和有动机的恶意个人直接靠近您的机会非常低。Internet 上的动机和恶意用户尝试远程访问 IOT 设备的机会要高得多,了解设备在您的网络保护中打了哪些漏洞非常重要。

此外,正如迈克尔好心指出的那样,如此广泛的黑客的利益不太可能关心您的隐私,而更有可能对攻击您的其他计算机或设备的计算能力感兴趣作为攻击机器人。

欢迎来到物联网 (IoT)。这是……一件事。因此,它可以被同化

Mirai 是一种恶意软件,它会自动找到要感染的物联网设备并将它们征召入僵尸网络——一组可以集中控制的计算设备。

Mirai 如此难以控制的一个原因是它潜伏在设备上,通常不会显着影响它们的性能。普通用户没有理由认为他们的网络摄像头——或者更有可能是小型企业的网络摄像头——可能是活跃僵尸网络的一部分。即使是这样,他们也无能为力,因为无法直接与受感染的产品交互。

问题是在制作这样的玩具时很少考虑安全性。完成所有这些工作的技术相当简单,但考虑到这一点,公司并没有得到报酬。这是一个孩子的玩具。它意味着便宜和容易。你得到你所支付的。

今年早些时候,发现类似的儿童玩具根本没有安全性(强调我的)

一家联网毛绒动物玩具制造商曝光了超过 200 万条儿童和父母的录音,以及超过 800,000 个帐户的电子邮件地址和密码数据。

根据泄露通知网站 Have I Been Pwned? 的维护者 Troy Hunt 周一发表的一篇博客文章,账户数据被留在了一个公开可用的数据库中,该数据库没有密码保护,也没有放置在防火墙后面。他说,使用 Shodan 计算机搜索引擎和其他证据进行的搜索表明,自 12 月 25 日和 1 月 8 日以来,客户数据被多方多次访问,其中包括最终持有数据以勒索赎金的犯罪分子。这些录音可在亚马逊托管的服务上获得,无需授权即可访问。

我会诚实的。这些东西在他们能做的事情上是可怕的强大。即使它没有暴露您的消息,它仍然可以用于恶意攻击,例如 DDOS 攻击。如果我是你,我会传递这样的东西,除非有明确的安全性。

这与 CloudPets 几乎是同一种玩具。那些是允许使用移动应用程序与孩子们交谈的玩具(玩具)。安全很糟糕。事实证明,用户详细信息和宠物记录都可以在没有密码的数据库中获得。该公司甚至没有回复提醒他们这些漏洞的邮件。

您可以在 Troy Hunt 博客上查看这个可怕的故事:https ://www.troyhunt.com/data-from-connected-cloudpets-teddy-bears-leaked-and-ransomed-exposing-kids-voice-messages/

现在,Talkies 实际上可能做出了正确的选择(很难像 CloudPets 那样做这么多错误的事情!),但这展示了该领域的安全水平。

所以不,我不会相信这个玩具有我孩子的数据。更不用说玩具本身是如何受到损害的(例如Hello Barbie)。

事实上,德国到目前为止禁止连接互联网的凯拉娃娃,因为担心它们可能会被利用来瞄准儿童:https ://www.telegraph.co.uk/news/2017/02/17/germany-bans-internet-连接娃娃恐惧黑客可以瞄准/

其它你可能感兴趣的问题
上一篇使用我家/自己的互联网连接时,HTTP 和 HTTPS 之间有什么区别吗 下一篇如果我的网站抛出堆栈信息,我应该担心吗?