Perché la bambola My Friend Cayla connessa a Internet è stata bandita come un "dispositivo di spionaggio nascosto"?

Secondo CNET , la bambola My Friend Cayla è stata bandita in Germania perché è stata classificata come un "dispositivo di spionaggio nascosto" illegale:

Se stai pensando di acquistare un giocattolo collegato per la tua prole, potresti pensarci due volte.

In Germania, i regolatori hanno stabilito che la bambola My Friend Cayla potrebbe non andare bene, dato il suo potenziale per rubare informazioni sui bambini che ci giocano. E dicono che i genitori tedeschi i cui figli sono in possesso di una bambola Cayla dovrebbero distruggere il giocattolo.

La Federal Network Agency ha dichiarato venerdì in un comunicato stampa di aver rimosso le bambole Cayla dal mercato in Germania e non cercherà di perseguire i genitori che ne hanno acquistato uno. Si aspetta, tuttavia, che i genitori che hanno acquistato una bambola si assumano la responsabilità di distruggerla.

Le bambole Cayla, che incorporano microfoni e fanno domande ai bambini su se stessi e sui loro genitori, sono classificate come "dispositivi di spionaggio nascosti", il cui possesso e vendita sono vietati dalla legge tedesca.

Ho fatto un po 'di ricerche sul giocattolo in precedenza quando qualcuno ha chiesto del giocattolo, e anche se sembra leggermente inappropriato inviare il discorso dei tuoi figli a un server cloud, non è esattamente nascosto ; il dispositivo è pubblicizzato come "intelligente" e connesso a Internet.

Ci sono altri difetti con la bambola che l'ha resa illegale (hacking, forse?) O è stata bandita semplicemente a causa delle preoccupazioni sulla privacy dell'invio di dati al produttore?

Come capisco i problemi, ci sono due punti particolari in cui la bambola Cayla differisce da simili giocattoli consentiti :

• La bambola ha una luce che indica quando sta inviando, ma che può essere spenta in remoto (app per smartphone).

• Inoltre, la mancanza della sicurezza dell'accoppiamento bluetooth (nessuna pressione del pulsante, nessun PIN) significa che è piuttosto facile per le terze parti assumere il controllo della bambola:

  chiunque si trovi entro un raggio di 15 metri [...] può connettersi ai giocattoli purché siano accesi e non già accoppiati attivamente con un altro dispositivo

  da: #Toyfail Un'analisi dei problemi dei consumatori e della privacy in tre giocattoli collegati a Internet, dicembre 2016, Forbrukerrådet, p. 31

Insieme, ciò significa che una terza parte può accoppiare il telefono con la bambola, spegnere l'indicatore di invio e ascoltare le persone ignare intorno alla bambola. Quindi non si tratta "solo" di parti 3d non consapevoli delle capacità di invio, ma di capacità di invio nascoste che è quasi inevitabile con il dispositivo utilizzato in base al suo scopo.
La "conoscenza di buon senso" (sapere che la bambola ha connettività Internet e capacità di invio e la sua luce di invio non è accesa) non è sufficiente per garantire la privacy qui - almeno, si dovrebbe conoscere questi exploit e quindi prendere ulteriori precauzioni di conseguenza .

Il comunicato stampa del Bundesnetzagentur afferma:

Ohne Kenntnis der Eltern können die Gespräche des Kindes and anderer Personen aufgenommen und weitergeleitet werden. [...] Weiter kann ein Spielzeug, wenn die Funkverbindung (wie Bluetooth) vom Hersteller nicht ausreichend geschützt wird, von in der Nähe befindlichen Dritten unbemerkt genutzt werden, um Gespräche abzuhören.

traduzione approssimativa:

Senza la conoscenza dei genitori, le conversazioni del bambino e di altri possono essere registrate e inviate [a Internet / terze parti]. [...] Inoltre, se la trasmissione radio (ad es. Bluetooth) non è adeguatamente protetta, il giocattolo può essere utilizzato da terze parti nelle vicinanze per intercettare conversazioni non percepite.

non è esattamente nascosto; il dispositivo è pubblicizzato come "intelligente" e connesso a Internet.

Va bene, ma se non sei quello che l'ha acquistato, potresti non essere consapevole del fatto che sta registrando il tuo discorso e lo sta inviando a Internet! Basta comprarne uno e regalarlo a qualcuno che desideri spiare; penseranno che è solo una bambola. Quindi, è molto un dispositivo di spionaggio nascosto.

La notizia in Germania riportava che, secondo le leggi tedesche, la bambola è considerata un dispositivo di spionaggio nascosto in quanto sembra un normale giocattolo senza parti elettroniche a persone che non ne conoscono le funzioni, ma è in grado di registrare e inviare dati .

Ciò rientra nel "§ 90 Missbrauch von Sende-der sonstigen Telekommunikationsanlagen" del Telekommunikationsgesetz (TKG) ed è quindi vietato all'interno del paese.

fonti:

• http://www.zeit.de/digital/datenschutz/2017-02/my-friend-cayla-puppe-spion-bundesnetzagentur
• https://www.gesetze-im-internet.de/tkg_2004/__90.html

Uno dei problemi chiave di My Friend Cayla è che i file audio che invia non vengono salvati in modo sicuro. Ken Munro ha effettuato un'analisi approfondita su questo (e molti altri dispositivi IoT) e sottolinea che i file audio sono disponibili su Internet, con scarsi controlli di accesso!

Quindi non solo tutto ciò che tuo figlio dice è andare su un server da qualche parte, altri possono ascoltarlo ...

(un consiglio: per la sicurezza dell'IoT, segui Ken Munro. Sarai sorpreso dell'accesso che ottiene non solo ai dispositivi IoT, ma attraverso loro ai computer domestici, alle password e altro ancora!)