Điều này đang trở thành một chủ đề thường niên:một vài tuần sau lễ Giáng sinh, một người nào đó phát hiện ra rằng một món đồ chơi được kết nối "tuyệt vời" thực sự là một nguy cơ lớn về bảo mật và quyền riêng tư, với sự an toàn - và có thể, thậm chí cả tính mạng - của trẻ em được đưa vào. nguy hiểm.
Và dường như vẫn chưa có ai chủ động nhận trách nhiệm.
Con bạn có sử dụng đồ chơi trực tuyến kết nối với mạng không dây gia đình của bạn không? Nếu vậy, những gì sau đây có thể khiến bạn quan tâm đáng kể…
Đức Cấm Búp bê Talking Cayla
Vào tháng 2 năm 2017, nhà chức trách Đức đã quyết định cấm bán loại búp bê biết nói nổi tiếng, được đặt tên là "Cayla". Thậm chí, có lời khuyên dành cho các bậc cha mẹ là hãy phá hủy bất kỳ đồ chơi nào mà họ có, mặc dù quyết định thực thi hành động đó đã không được đưa ra.
Lệnh cấm được lấy cảm hứng từ một cuộc trình diễn bằng chứng về lỗ hổng trong đồ chơi, có sẵn trên toàn thế giới.
Cayla là một ý tưởng dễ thương. Bắt đầu trực tuyến qua Bluetooth và điện thoại thông minh có truy cập Internet, búp bê trả lời các câu hỏi, sử dụng nhận dạng giọng nói và Google. Theo cơ quan giám sát viễn thông của Đức, các cuộc trò chuyện giữa trẻ em và những người khác trong phạm vi của con búp bê có thể được ghi lại… hoặc thậm chí được chuyển tiếp ở nơi khác.
“Một công ty cũng có thể sử dụng đồ chơi để nhắm mục tiêu đến trẻ em hoặc phụ huynh bằng quảng cáo. Hơn nữa, nếu liên kết vô tuyến không được nhà sản xuất bảo mật đúng cách, đồ chơi có thể bị các bên gần đó sử dụng để nghe trộm các cuộc trò chuyện. ”
Nhưng vấn đề thực sự ở đây là gì? Chắc chắn một món đồ chơi cung cấp câu trả lời là một cách tuyệt vời để trẻ em học tập? Chà, đó là cách thực thi:về cơ bản là kết nối Bluetooth không an toàn. Tóm lại, đó là việc cắt giảm chi phí - chọn một con đường tắt thay vì đảm bảo một món đồ chơi có khả năng thay đổi cuộc sống là mạnh mẽ.
Bạn hoặc con bạn có sở hữu một con búp bê Cayla không? Chúng tôi khuyên bạn nên phá hủy một thiết bị như vậy là quá mức cần thiết. Nhưng nếu bạn lo ngại về khả năng lưu giữ thông tin chi tiết về quyền riêng tư, chúng tôi khuyên bạn nên… tắt nó đi. Bởi vì, rõ ràng, bất cứ thứ gì ghi lại giọng nói và cuộc trò chuyện đều là rủi ro, không chỉ đối với trẻ em mà còn đối với cả gia đình.
Bản ghi của trẻ em bị hack cơ sở dữ liệu
Bạn đã mua CloudPet cho con của mình hay con cháu của một người bạn, vào Giáng sinh năm ngoái?
Đây là một món đồ chơi đã trở thành trung tâm của một vụ rò rỉ dữ liệu khủng khiếp, trong đó giọng nói của chủ sở hữu chúng (và bạn bè và gia đình) đã được ghi lại, lưu trữ trong một cơ sở dữ liệu không an toàn và hậu quả là bị rò rỉ trực tuyến.
Chỉ cần làm rõ, đó là 2 triệu bản ghi âm đã bị hack. Ồ, và sau đó họ đã bị đòi tiền chuộc, tất cả vì nhà sản xuất Spiral Toys của CloudPets cắt giảm chi phí, thời gian và công sức cũng như lưu trữ dữ liệu (chúng tôi sẽ bỏ qua liệu họ có nên ghi lại nó ngay bây giờ hay không) trong cơ sở dữ liệu MongoDB.
(Vấn đề với MongoDB là nó không bảo mật theo mặc định. Cần thực hiện thêm các bước để bảo mật dữ liệu được lưu trữ theo cách này.)
Nhưng nó trở nên tồi tệ hơn. Nhà nghiên cứu bảo mật Troy Hunt đã cố gắng liên hệ với CloudPets nhiều lần để nêu rõ vụ hack, cũng như việc thiếu bảo mật trong chính các món đồ chơi (ba ký tự, mật khẩu chưa băm; dữ liệu thử nghiệm, dàn dựng và sản xuất và các trang web đều được lưu trữ trên cùng một máy chủ). )
Toàn bộ câu chuyện xin lỗi bao gồm yêu cầu Bitcoin trả lại dữ liệu, một công ty từ chối liên lạc với bất kỳ yêu cầu nào từ các nhà nghiên cứu và báo chí, và một loạt các bậc cha mẹ không biết rằng món đồ chơi yêu thích của con họ là một nguy cơ bảo mật trực tuyến. Tại thời điểm viết bài, CloudPets và Spiral Toys chưa thông báo cho phụ huynh về bất kỳ vấn đề nào.
Cho dù bạn cho rằng dữ liệu được ghi lại và sau đó bị rò rỉ có phải là vấn đề hay không, thì một công ty từ chối tham gia với bất kỳ ai về những vấn đề như thế này không phải là công ty mà bạn có sản phẩm mà bạn nên sử dụng.
Chúng tôi đã thấy tất cả trước đây
Vấn đề với tất cả những điều này là, đáng buồn thay, không có gì là mới. Giống như ngành công nghiệp nhà thông minh còn non trẻ - mà đồ chơi được kết nối là một phần mở rộng của, phải thừa nhận - các sản phẩm dường như đã được ném vào nhau, ít được xem xét đến các khái niệm như bảo mật và quyền riêng tư.
Không, ở đây khái niệm duy nhất mà các nhà thiết kế quan tâm là lợi nhuận và chi phí sản xuất thấp.
Quay trở lại năm 2015, chúng ta đã thấy cách máy bay không người lái quadcopter không dây có thể bị tấn công bằng một phần mềm tương đối đơn giản.
Sau một năm trôi qua, và rõ ràng không chỉ có gã khổng lồ điện tử trẻ em VTech bị tấn công (với việc mất 6 triệu tài khoản dữ liệu con), mà họ còn gây ảnh hưởng đến quyền riêng tư và bảo mật cho người tiêu dùng.
Vào mỗi dịp này, chúng tôi đã nêu bật những cách mà bạn có thể đảm bảo dữ liệu của mình - và của con bạn - vẫn an toàn. Chúng tôi cũng đã đề nghị bạn yêu cầu nhiều hơn từ các nhà sản xuất đồ chơi thông minh. Nói một cách đơn giản, nếu một món đồ chơi được kết nối không đáp ứng các yêu cầu cơ bản về bảo mật và quyền riêng tư (truyền dữ liệu an toàn, bảo vệ bằng mật khẩu) và các nhà sản xuất của nó không thể cung cấp lưu trữ an toàn cho bất kỳ dữ liệu nào được thu thập, thì bạn cần quên món đồ chơi cụ thể đó và chuyển sang phần tiếp theo .
Nó đang trở nên tốt hơn
May mắn thay, mọi thứ đang thay đổi, giống như thị trường nhà thông minh chính thống. Các nhà sản xuất đang nhận ra nhu cầu về bảo mật và quyền riêng tư và phát hành các thiết bị mới, mạnh mẽ hơn. Nhưng hãy chú ý đến thiết bị rẻ hơn, có phần cứng và phần sụn cũ hơn. Đây là nơi mà các vấn đề sẽ còn tồn tại trong những năm tới, khi các nhà sản xuất cố gắng bán bớt cổ phiếu cũ hơn, kém an toàn hơn với giá chỉ bằng một phần nhỏ.
Bạn có một món đồ chơi được kết nối mà bạn lo lắng không? Có lẽ bạn cảm thấy rằng không có rủi ro? Hãy cho chúng tôi biết suy nghĩ của bạn bên dưới.