Dlaczego połączona z Internetem lalka My Friend Cayla została zakazana jako „ukryte urządzenie szpiegowskie”?

Według CNET lalka My Friend Cayla została zakazana w Niemczech, ponieważ została sklasyfikowana jako nielegalne „ukryte urządzenie szpiegowskie”:

Jeśli zastanawiasz się nad zakupem zabawki dla swojego potomstwa, możesz zastanowić się dwa razy.

W Niemczech organy regulacyjne ustaliły, że lalka My Friend Cayla może być bezużyteczna, biorąc pod uwagę jej potencjał do kradzieży informacji o dzieciach, które się z nią bawią. I mówią, że niemieccy rodzice, których dzieci są w posiadaniu lalki Cayla, powinni zniszczyć zabawkę.

Federalna Agencja Sieci poinformowała w piątek w komunikacie prasowym, że usunęła lalki Cayla z rynku w Niemczech i nie będzie dążyć do postawienia zarzutów rodzicom, którzy ją kupili. Oczekuje jednak, że rodzice, którzy kupili lalkę, przyjmą odpowiedzialność za jej zniszczenie.

Lalki Cayla, które zawierają mikrofony i zadają dzieciom pytania o sobie i swoich rodzicach, są klasyfikowane jako „ukryte urządzenia szpiegowskie”, których posiadanie i sprzedaż są zakazane przez prawo niemieckie.

Przeprowadziłem już trochę badań nad zabawką, gdy ktoś zapytał o zabawkę i chociaż wysyłanie wypowiedzi dzieci na serwer w chmurze wydaje się nieco niewłaściwe, nie jest to do końca ukryte ; urządzenie jest reklamowane jako „inteligentne” i podłączone do Internetu.

Czy lalka ma inne wady, które spowodowały, że stała się nielegalna (może hakowanie?), Czy też została zbanowana z powodu obaw związanych z prywatnością podczas przesyłania danych do producenta?

Jak rozumiem problemy, istnieją dwa szczególne punkty, w których lalka Cayla różni się od podobnych dozwolonych zabawek:

• Lalka ma kontrolkę wskazującą, kiedy wysyła - ale można ją zdalnie wyłączyć (aplikacja na smartfony).

• Ponadto brak zabezpieczeń parowania Bluetooth (bez naciskania przycisków, bez kodu PIN) oznacza, że ​​osoby trzecie mogą raczej przejąć kontrolę nad lalką:

  każdy w promieniu 15 metrów [...] może łączyć się z zabawkami, o ile są one włączone i nie są już aktywnie sparowane z innym urządzeniem

  from: #Toyfail Analiza problemów konsumenckich i prywatności w trzech zabawkach połączonych z Internetem, grudzień 2016, Forbrukerrådet, str. 31

Razem oznacza to, że osoba trzecia może sparować swój telefon z lalką, wyłączyć wskaźnik wysyłania i słuchać niczego nie podejrzewających ludzi wokół lalki. Tak więc nie chodzi tylko o to, że strony 3D nie są świadome możliwości wysyłania, chodzi o możliwość wysyłania ukrytego, która jest prawie nieunikniona przy użyciu urządzenia zgodnie z jego przeznaczeniem.
„Wiedza zdrowego rozsądku” (wiedząc, że lalka ma łączność z Internetem i możliwości wysyłania, a lampka wysyłająca nie jest włączona) nie jest wystarczająca do zapewnienia prywatności - przynajmniej trzeba znać te exploity, a następnie podjąć dodatkowe środki ostrożności odpowiednio .

Komunikat prasowy Bundesnetzagentur mówi:

Ohne Kenntnis der Eltern können die Gespräche des Kindes und anderer Personen aufgenommen und weitergeleitet werden. [...] Weiter kann ein Spielzeug, wenn die Funkverbindung (wie Bluetooth) vom Hersteller nicht ausreichend geschützt wird, von in der Nähe befindlichen Dritten unbemerkt genutzt werden, um Gespräche abzuhören.

z grubsza tłumaczenie:

Bez wiedzy rodziców rozmowy dziecka i innych osób mogą być nagrywane i przesyłane [do Internetu / stron trzecich]. [...] Ponadto, jeśli transmisja radiowa (np. Bluetooth) nie jest odpowiednio zabezpieczona, zabawka może być używana przez osoby trzecie w pobliżu, aby podsłuchiwać rozmowy nieprzewidziane.

nie jest dokładnie ukryty; urządzenie jest reklamowane jako „inteligentne” i podłączone do Internetu.

Dobrze, ale jeśli nie jesteś tym, który go kupił, możesz nie być świadomy, że nagrywa twoją mowę i wysyła ją do Internetu! Wystarczy go kupić i dać w prezencie komuś, kogo chcesz szpiegować; pomyślą, że to tylko lalka. Dlatego jest to bardzo ukryte urządzenie szpiegowskie.

Wiadomości w Niemczech, w których według niemieckiego prawa lalka jest uważana za ukryte urządzenie szpiegowskie, ponieważ wygląda jak zwykła zabawka bez żadnych elementów elektronicznych dla osób, które nie wiedzą o jej funkcjach, chociaż może rejestrować i wysyłać dane .

Jest to objęte „§ 90 Missbrauch von Sendener sonstigen Telekommunikationsanlagen” Telekommunikationsgesetz (TKG) i dlatego jest zakazane w tym kraju.

Źródła:

• http://www.zeit.de/digital/datenschutz/2017-02/my-friend-cayla-puppe-spion-bundesnetzagentur
• https://www.gesetze-im-internet.de/tkg_2004/__90.html

Jednym z kluczowych problemów z My Friend Cayla jest to, że wysyłane przez nią pliki audio nie są bezpiecznie zapisywane. Ken Munro przeprowadził szeroko zakrojoną analizę tego (i wielu innych urządzeń IoT) i wskazuje, że pliki audio są dostępne w Internecie przy słabej kontroli dostępu!

Więc nie tylko wszystko, co mówi twoje dziecko, idzie gdzieś na serwer, inni mogą go słuchać ...

(rada - dla bezpieczeństwa IoT podążaj za Kenem Munro. Będziesz zaskoczony dostępem, jaki zyskuje on nie tylko do urządzeń IoT, ale także za ich pośrednictwem do komputerów domowych, haseł i innych!)