Les jouets parlants compatibles WiFi sont-ils sûrs?
Il y a eu récemment des publicités à la radio pour un jouet compatible avec le wifi appelé Talkies , qui sont annoncés comme étant capables de communiquer avec des téléphones compatibles avec les applications, avec un "cercle de confiance" auquel d'autres téléphones peuvent être ajoutés.
(Photo obligatoire d'une créature mignonne compatible wifi) 
Surtout en considérant la vulnérabilité Krack , et le processus connu de " toilettage " un enfant qu'un prédateur sexuel ou autre traverse pour gagner leur confiance et les exploiter ( Voici une histoire sur la façon dont Snapchat a été utilisé), est-ce un jouet que je devrais éviter pour mon enfant? (3 ans actuellement)
Soyez très, très prudent. Ce n'est pas KRACK qui est le problème, c'est une attitude laxiste envers la sécurité et la confidentialité en général. Les produits de consommation dits "intelligents" peuvent souvent être détournés, accessibles sur Internet ou surveillés. En tant que client, il est difficile de savoir si un produit spécifique est sûr ou non.
Le Norwegian Consumer Council est en cause depuis un certain temps et a produit quelques histoires d'horreur. À partir d'un rapport, justement intitulé # ToyFail , sur trois poupées "intelligentes":
Lors de l'examen des conditions d'utilisation et des politiques de confidentialité des jouets connectés, la CCN a constaté un manque général déconcertant de respect des droits fondamentaux des consommateurs et de la vie privée. [...]
En outre, les termes sont généralement vagues sur la conservation des données et se réservent le droit de résilier le service à tout moment sans motif suffisant. De plus, deux des jouets transfèrent des informations personnelles à un tiers commercial, qui se réserve le droit d'utiliser ces informations pour pratiquement n'importe quel but, sans rapport avec la fonctionnalité des jouets eux-mêmes.
[I] t a été découvert que deux des jouets n'ont pratiquement pas de sécurité intégrée. Cela signifie que n'importe qui peut accéder au microphone et aux haut-parleurs à l'intérieur des jouets, sans avoir besoin d'un accès physique aux produits. Il s'agit d'un grave défaut de sécurité, qui n'aurait jamais dû être présent dans les jouets en premier lieu.
Et d'un autre de leurs rapports, encore une fois bien nommé # WatchOut , sur les montres "intelligentes" pour les enfants:
[T] deux des appareils présentent des failles qui pourraient permettre à un attaquant potentiel de prendre le contrôle des applications, accédant ainsi à l'emplacement en temps réel et historique des enfants et à leurs données personnelles, et leur permettant même de contacter directement les enfants, tous à l'insu des parents.
De plus, plusieurs appareils transmettent des données personnelles à des serveurs situés en Amérique du Nord et en Asie de l'Est, dans certains cas sans aucun cryptage en place. L'une des montres fonctionne également comme un appareil d'écoute, permettant au parent ou à un étranger possédant certaines connaissances techniques de surveiller l'audio de l'environnement de l'enfant sans aucune indication claire sur la montre physique que cela se produit.
Et le FBI est d'accord :
Les jouets intelligents et les appareils de divertissement pour enfants intègrent de plus en plus des technologies qui apprennent et adaptent leurs comportements en fonction des interactions des utilisateurs. Ces caractéristiques pourraient mettre en danger la vie privée et la sécurité des enfants en raison de la grande quantité d'informations personnelles qui peuvent être divulguées à leur insu.
Donc, à moins que vous n'ayez un réel besoin (autre que "c'est cool") pour ce genre de produits, je dirais que votre meilleure approche est de simplement vous en éloigner.
Cela dépend vraiment de votre modèle de menace. Je ne serais pas particulièrement inquiet à propos d'un prédateur sexuel particulier dans votre région ayant les compétences techniques nécessaires pour utiliser Krack pour injecter la voix dans le jouet. À moins qu'il n'utilise le pilote Linux vulnérable, l'effacement des clés ne fonctionnera pas et la nature partielle du compromis pour une réinitialisation générale rendrait l'injection vocale presque impossible.
De même, en tant qu'appareil client, il n'offre pas beaucoup de risques de sécurité autres que éventuellement en tant qu'appareil d'écoute, selon qu'il est toujours allumé ou activé en appuyant sur un bouton. Krack ne le rendrait pas utilisable comme point d'entrée dans votre réseau directement, donc je ne le vois pas comme un appareil particulièrement plus risqué que tout autre appareil IOT.
Comme toujours en sécurité, cela se résume à votre aversion au risque. Personnellement, si je pensais que cela serait utile à mon enfant (qui a également 3 ans), je ne pense pas que je considérerais les implications de sécurité locales comme une raison de ne pas l'obtenir pour mon environnement familial. Je serais plus préoccupé par les contrôles et la sécurité du côté Web.
Ma principale préoccupation pour les périphériques IOT n'est pas tant le compromis local que le compromis distant connecté au Web. Les chances qu'un individu malveillant suffisamment qualifié et motivé se trouve à proximité immédiate sont assez faibles. Les chances qu'un utilisateur motivé et malveillant sur Internet essaie d'accéder à distance à l'appareil IOT est considérablement plus élevée et il est important de comprendre les trous que les appareils perforent dans vos protections réseau.
De plus, comme Michael a eu la gentillesse de le souligner, les intérêts d'un pirate aussi large sont beaucoup moins susceptibles de se préoccuper de votre vie privée et beaucoup plus susceptibles d'être intéressés par des attaques sur vos autres ordinateurs ou sur les capacités de calcul de l'appareil. comme un robot d'attaque.
Bienvenue sur l'Internet des objets (IoT). C'est une ... chose. Par conséquent, il peut être assimilé
Mirai est un type de malware qui détecte automatiquement les appareils de l'Internet des objets pour les infecter et les conscrit dans un botnet, un groupe de dispositifs informatiques qui peuvent être contrôlés de manière centralisée.
Et
L'une des raisons pour lesquelles Mirai est si difficile à contenir est qu'il se cache sur les appareils et n'affecte généralement pas sensiblement leurs performances. Il n'y a aucune raison pour que l'utilisateur moyen pense que sa webcam, ou plus probablement celle d'une petite entreprise, fait potentiellement partie d'un botnet actif. Et même si c'était le cas, ils ne pouvaient pas faire grand-chose, n'ayant aucun moyen direct d'interfacer avec le produit infecté.
Le problème est que la sécurité est rarement prise en compte lors de la fabrication de jouets comme celui-ci. La technologie pour faire tout ce travail est assez simple, mais les entreprises ne sont pas payées pour y penser. C'est un jouet d'enfant. C'est censé être bon marché et facile. Et vous en avez pour votre argent.
Plus tôt cette année, il a été constaté que n jouet pour enfant similaire n'avait aucune sécurité (c'est moi qui souligne)
Un fabricant de jouets en peluche connectés à Internet a exposé plus de 2 millions d'enregistrements vocaux d'enfants et de parents, ainsi que des adresses e-mail et des données de mot de passe pour plus de 800 000 comptes.
Les données du compte ont été laissées dans une base de données accessible au public qui n'était pas protégée par un mot de passe ou placée derrière un pare-feu , selon un article de blog publié lundi par Troy Hunt, mainteneur du site Web Have I Been Pwned ?, de notification de violation. Il a déclaré que les recherches effectuées à l'aide du moteur de recherche informatique Shodan et d'autres éléments de preuve indiquaient que, depuis le 25 décembre et le 8 janvier, les données des clients avaient été consultées à plusieurs reprises par plusieurs parties, y compris des criminels qui détenaient finalement les données contre rançon. Les enregistrements étaient disponibles sur un service hébergé par Amazon qui ne nécessitait aucune autorisation d'accès.
Je vais être honnête. Ces choses sont effrayantes et puissantes dans ce qu'elles peuvent faire. Même s'il n'expose pas votre messagerie, il pourrait tout de même être utilisé pour quelque chose de malveillant comme une attaque DDOS. Si j'étais vous, je transmettrais quelque chose comme ça à moins qu'il y ait quelque chose explicite sur la sécurité.
C'est à peu près le même type de jouet que CloudPets. C'étaient des jouets qui permettaient de parler avec les enfants (jouet) en utilisant une application mobile. La sécurité était terrible. Il s'est avéré que les détails de l'utilisateur et les enregistrements d'animaux étaient disponibles sur des bases de données sans mot de passe. Et l'entreprise n'a même pas répondu aux e-mails les alertant des vulnérabilités.
Vous pouvez voir cette histoire terrifiante sur le blog de Troy Hunt: https://www.troyhunt.com/data-from-connected-cloudpets-teddy-bears-leaked-and-ransomed-exposing-kids-voice- messages /
Maintenant, les Talkies ont peut-être fait les bons choix (il est difficile de faire autant de choses mal comme CloudPets!), Mais cela montre le niveau de sécurité de ce secteur.
Donc non, je ne ferais pas confiance à ce jouet avec les données de mes enfants. Sans parler de la façon dont le jouet lui-même pourrait être compromis (par exemple, comme Bonjour Barbie ).
En fait, l'Allemagne est allée si loin pour interdire les poupées Cayla connectées à Internet par peur qu'elles pourraient être exploitées pour cibler les enfants: https://www.telegraph.co.uk/news/2017/02/17/germany- interdit-les-poupées-connectées à Internet-les peurs-pirates-pourraient-cibler /
Internet --- n'importe quoi présente un risque. En règle générale, la sécurité est une dépense et les consommateurs dans leur ensemble ne tiennent vraiment pas compte de la sécurité des produits lorsqu'ils prennent des décisions d'achat. Par exemple, Reddit a récemment publié un fil sur un couple qui a divorcé et elle n'a pas changé le mot de passe sur le thermostat Nest. Ainsi, alors qu'elle était absente, il augmentait la climatisation ou le chauffage et causait d'énormes factures de services publics. Nous connaissons également des babyphones qui ont été utilisés pour écouter les voisins sans leur consentement. J'ai assisté à des démonstrations de sécurité informatique de commutateurs d'éclairage connectés à Internet, montrant à quel point il était facile de les attaquer.
le krack est important, certes, mais par rapport à une posture de sécurité inexistante, cela n'a pas d'importance. Tout simplement, si quelqu'un est préoccupé par la sécurité, je suggérerais de ne pas acheter quoi que ce soit en réseau à moins qu'il ne puisse identifier un besoin pour qu'il ait une connexion réseau et qu'il ait les compétences pour bien le sécuriser et son réseau.
WRT votre cercle de confiance de téléphones: à quelle fréquence prévoyez-vous de gérer cette liste? Quel est le moyen de rejoindre ce cercle de confiance? Savez-vous quand vos amis revendent leurs téléphones afin que vous puissiez les retirer de votre cercle? (Si votre réponse n'est pas "non" à la dernière, vous n'êtes probablement pas réaliste avec vous-même.)
Encouragez la créativité. Développer des compétences. Obtenez à l'enfant un tas de blocs de construction ou un train. Obtenez un spirographe. Jouez aux cartes/jeux avec eux. Trouvez quelque chose avec lequel ils joueront pendant des heures qui ne nécessitent pas votre attention constante.
Cela met le "IOT" dans "IDIOT!".
La plupart des entreprises qui les fabriquent ne savent pas comment empêcher les pirates de les prendre en charge, y programmant parfois des exploits stupides/évidents.
L'exploit KRACK pourrait ne pas être pertinent la moitié du temps car la plupart de ces fabricants ne comprendraient pas comment implémenter une forme de cryptage.
Tout type d'enregistrement vocal activé sur Internet est une intrusion potentiellement effrayante et carrément dangereuse de la vie privée. Ces appareils utilisent probablement le cloud pour le traitement et le stockage du son, car ils sont presque certainement basés sur des puces ARM et un stockage flash bon marché minimal au plus).
Même si l'appareil est correctement fabriqué, il n'y a pas de garantie similaire sur l'application cloud qu'il utilise. Vous seriez surpris de voir combien de fois les chercheurs tombent sur de précieuses données restantes dans le cloud que l'utilisateur précédent d'une instance de machine logique n'a pas pu nettoyer.