web-dev-qa-db-ja.com

wifi対応のしゃべるおもちゃはどれくらい安全ですか?

最近、無線で トーキー と呼ばれるwifi対応のおもちゃの広告がありました。これは、他の電話を追加できる「信頼できるサークル」で、アプリ対応の電話と通信できると宣伝されています。

(かわいいwifi対応の生き物の義務的な写真) enter image description here

特に クラックの脆弱性 、および「 グルーミング 」の既知のプロセスを考慮すると、性的または他の捕食者が信頼を獲得してそれらを悪用するために通過する子供( ここに物語があります Snapchatの使用方法について)、これは私が子供のために離れる必要があるおもちゃですか? (現在3歳)

50
JohnP

非常に注意してください。問題となっているのはKRACKではなく、セキュリティとプライバシー全般に対する緩やかな態度です。いわゆる「スマート」コンシューマ製品は、ハイジャックされたり、インターネットからアクセスされたり、監視されたりすることがよくあります。顧客として、特定の製品が安全であるかどうかを知ることは困難です。

ノルウェー消費者評議会 はしばらくの間訴訟に巻き込まれ、いくつかのホラーストーリーを生み出しました。レポートから、適切にタイトルが付けられた #ToyFail 、3つの「スマート」人形について:

接続された玩具の使用条件とプライバシーポリシーを詳しく調べたところ、NCCは基本的な消費者とプライバシーの権利に対する一般的な当惑の欠如を発見しました。 [...]

さらに、これらの条件は一般にデータの保持について曖昧であり、十分な理由なしにいつでもサービスを終了する権利を留保します。さらに、おもちゃの2つは個人情報を商業的な第三者に転送します。商業的な第三者は、おもちゃ自体の機能とは無関係に、この情報を事実上あらゆる目的に使用する権利を留保します。

2つのおもちゃには実質的にセキュリティが組み込まれていないことが発見されました。これは、製品に物理的にアクセスすることなく、誰でもおもちゃ内のマイクとスピーカーにアクセスできることを意味します。これは重大なセキュリティ上の欠陥であり、そもそもおもちゃに存在するべきではありませんでした。

そして、彼らの別のレポートから、再び適切に名前が付けられた #WatchOut が、子供向けの「スマート」ウォッチについてです。

[T] 2つのデバイスに欠陥があるため、潜在的な攻撃者がアプリを制御できるため、子供たちのリアルタイムおよび履歴上の場所と個人の詳細にアクセスできるほか、子供たちに直接連絡することもできます。両親の知識なし。

さらに、いくつかのデバイスは、北米と東アジアにあるサーバーに個人データを送信しますが、暗号化を行わない場合もあります。時計の1つはリスニングデバイスとしても機能し、技術的な知識を持つ親または見知らぬ人が、実際の時計でこれが行われていることを明確に示すことなく、子供の周囲を音声で監視できます。

そして FBIは同意する

子供向けのスマートなおもちゃや娯楽機器には、ユーザーの操作に基づいて行動を学習および調整するテクノロジーがますます取り入れられています。これらの機能は、意図せずに開示される可能性がある大量の個人情報により、子供のプライバシーと安全を危険にさらす可能性があります。

したがって、これらの種類の製品が本当に必要な場合(「これはかっこいい」以外)を除いて、最善のアプローチは、単純にそれらから離れることです。

92
Anders

それは本当にあなたの脅威モデルに依存します。クラックを使っておもちゃに声を注入するのに必要な技術的スキルを持っているあなたの地域の特定の性的捕食者が特に心配することはないでしょう。脆弱なLinuxドライバーを使用しない限り、キーのクリアは機能せず、一般的なリセットに対する妥協の部分的な性質により、音声注入はほぼ不可能になります。

同様に、クライアントデバイスとして、常にオンになっているか、ボタンを押すことによってアクティブ化されているかによっては、リスニングデバイスとしての可能性以外に、セキュリティリスクはそれほど大きくありません。 Krackは、ネットワークへのエントリポイントとして直接使用できるようにはしないため、他のどのIOTデバイスよりも特にリスクの高いデバイスとは考えていません。

いつものように、それはあなたのリスク回避に帰着します。個人的には、子供(3歳でもある)にとってそれが価値があると思った場合、地元のセキュリティへの影響を自宅環境で受け取らない理由とは考えていません。 Web側のコントロールとセキュリティについてもっと気になるでしょう。

IOTデバイスに関する私の主な懸念は、Web接続されたリモートの侵害ほどローカルの侵害ではありません。十分に熟練した意欲的な悪意のある個人があなたのすぐ近くにいる可能性はかなり低いです。インターネット上のやる気のある悪意のあるユーザーがIOTデバイスにリモートアクセスしようとする可能性は非常に高く、デバイスがネットワーク保護に穴を開ける原因を理解することが重要です。

また、マイケルが指摘してくれたので、このような幅広いハッカーの興味は、プライバシーに関心が低く、他のコンピューターまたはデバイスの計算機能への攻撃に関心がある可能性が高くなります。攻撃ボットとして。

15
AJ Henderson

モノのインターネット(IoT)へようこそ。これは...物事です。したがって、それは 同化 にすることができます

Miraiは、感染するモノのインターネットデバイスを自動的に検出し、それらをボットネット(中央で制御できるコンピューティングデバイスのグループ)に徴集するマルウェアの一種です。

そして

みらいちゃんの封じ込めが難しい理由の1つは、デバイスに潜んでいて、一般的にパフォーマンスに大きな影響を与えないことです。平均的なユーザーが、自分のWebカメラ(または、おそらく中小企業のWebカメラ)がアクティブなボットネットの一部である可能性があると考える理由はありません。そして、たとえあったとしても、彼らがそれについてできることはあまりなく、感染した製品と直接やり取りする方法はありません。

問題は、このようなおもちゃを作るときにセキュリティが考慮されることはほとんどないということです。このすべてを機能させるテクノロジーはかなり単純ですが、企業はこれについて考えるお金を払っていません。子供のおもちゃです。それは安くて簡単であることを意味します。そして、あなたはあなたが支払うものを手に入れます。

今年の初めに、 同様の子供のおもちゃにはまったく安全性がなかった (私の強調)

インターネットに接続された動物のぬいぐるみのメーカーは、子供と親の200万件を超える音声録音、および80万件を超えるアカウントの電子メールアドレスとパスワードデータを公開しています。

月曜日に発行されたブログ投稿によると、アカウントデータは、パスワードで保護されていない、またはファイアウォールの背後に配置された一般に利用可能なデータベースに残されていました。違反通知のウェブサイト、I Have Peen Pwned?のメンテナーであるTroy Hunt氏。彼は、Shodanコンピュータ検索エンジンおよびその他の証拠を使用した検索により、12月25日と1月8日以降、顧客データは最終的に身代金目的でデータを保持した犯罪者を含む複数の関係者によって複数回アクセスされたことが示されたと述べました。録音は、アクセスを承認する必要のないAmazonがホストするサービスで利用できました。

正直なところ。これらのことは、何ができるのか恐ろしく強力です。メッセージングが公開されていなくても、DDOS攻撃のような悪意のあるものに使用される可能性があります。私があなただったら、セキュリティについて何かexplicitがない限り、私はこのようなものを渡します。

12
Machavity

これはCloudPetsとほとんど同じ種類のおもちゃです。それらは、モバイルアプリを使用して子供たちと話すことができるおもちゃ(おもちゃ)でした。セキュリティはひどいものでした。ユーザーの詳細とペットの録音の両方が、パスワードなしのデータベースで利用できることがわかりました。そして、同社は脆弱性を警告するメールに答えさえしなかった。

この恐ろしい話については、Troy Huntブログで見ることができます: https://www.troyhunt.com/data-from-connected-cloudpets-teddy-bears-leaked-and-ransomed-exposing-kids-voice-メッセージ/

現在、トーキーは実際に正しい選択をした可能性がありますが(CloudPetsのように多くのことを間違って行うのは難しい!)、これはこのセクターのセキュリティのレベルを示しています。

いいえ、私はこのおもちゃを私の子供のデータで信頼しません。おもちゃ自体がどのように侵害される可能性があるかは言うまでもありません(例: ハローバービー )。

実際、ドイツはこれまで、子供たちを標的にするために悪用される可能性があるという恐れから、インターネットに接続されたケイラ人形を禁止していました: https://www.telegraph.co.uk/news/2017/02/17/germany- bans-internet-connected-dolls-fears-hackers-could-target /

7
Ángel

インターネット対応anythingはリスクをもたらします。原則として、セキュリティは出費であり、消費者は全体として、購入を決定するときに製品のセキュリティを実際に考慮しません。たとえば、最近Redditに離婚したカップルに関するスレッドがあり、彼女はNestサーモスタットのパスワードを変更しませんでした。そのため、彼女が不在の間に、彼はエアコンまたは熱を上げて、多額の公共料金を発生させました。私たちは、隣人の同意なしに傍聴するために使用されたベビーモニターも知っています。私はインターネットに接続されたライトスイッチのITセキュリティデモに参加し、簡単に攻撃できることを示しました。

クラックは間違いなく重要ですが、存在しないセキュリティポスチャと比較すると重要ではありません。簡単に言えば、誰かがセキュリティを懸念している場合は、ネットワーク接続の必要性を認識できず、ネットワークとネットワークの両方を適切に保護するスキルがない限り、ネットワーク可能なものは購入しないことをお勧めします。

電話の信頼できる輪をWRTする:そのリストの管理をどのくらいの頻度で計画しますか?その信頼できるサークルに参加する手段は何ですか?あなたの友人があなたのサークルから彼らを退役させることができるように彼らの携帯電話をいつ売却するか知っていますか? (最後の答えが「いいえ」でない場合は、おそらく自分自身で現実的ではありません。)

創造性を奨励します。スキルを構築します。子供に積み木や電車の束をもらいましょう。スピログラフを入手してください。それらと一緒にカード/ゲームをプレイします。彼らがあなたの絶え間ない注意を必要としない何時間も一緒に遊ぶであろう何かを見つけてください。

5
baldPrussian

これにより、「IOT」が「IDIOT!」に入れられます。

これらを作成しているほとんどの企業は、ハッカーによる乗っ取りを防ぐ方法がなく、時には愚かな/明白なエクスプロイトをプログラミングすることがあります。

これらの製造業者のほとんどは、何らかの形式の暗号化を実装する方法を理解していないため、KRACKの悪用は半分の時間で無関係である可能性があります。

あらゆるタイプのインターネット対応の音声録音は、潜在的に気味が悪く、まったく危険なプライバシーの侵害です。これらのデバイスは、低品質のARMチップとせいぜい最低限の安価なフラッシュストレージに基づいていることをほぼ確実に考慮して、サウンド処理とストレージにクラウドを使用する可能性があります。

デバイスが適切に作成されていても、使用するクラウドアプリには同様の保証はありません。論理マシンインスタンスの以前のユーザーがクリーンアップに失敗した、クラウド内の貴重な残りのデータに研究者が偶然遭遇する頻度に驚くでしょう。

3
user1258361