Recientemente, ha habido anuncios en la radio para un juguete con wifi habilitado llamado Talkies , que se anuncian como capaces de comunicarse con teléfonos habilitados para aplicaciones, con un" círculo de confianza "al que se pueden agregar otros teléfonos.
(Foto obligatoria de una linda wifi habilitada critter)
Especialmenteconsiderandola
Ten mucho, mucho cuidado. No es KRACK el problema, es una actitud relajada hacia la seguridad y la privacidad en general. Los llamados productos de consumo "inteligentes" a menudo pueden ser secuestrados, accedidos desde Internet o monitoreados. Como cliente, es difícil saber si un producto específico es seguro o no.
El Consejo Noruego del Consumidor ha estado en el caso por un tiempo, y produjo algunas historias de horror. De un informe, acertadamente titulado #ToyFail , en tres " muñecas "inteligentes":
Al analizar los términos de uso y las políticas de privacidad de los juguetes conectados, el NCC encontró una desconcertante falta de respeto a los derechos básicos de privacidad y de los consumidores. [...]
Además, los términos son generalmente vagos acerca de la retención de datos y se reservan el derecho de terminar el servicio en cualquier momento sin una razón suficiente. Además, dos de los juguetes transfieren información personal a un tercero comercial, que se reserva el derecho de utilizar esta información para prácticamente cualquier propósito, sin relación con la funcionalidad de los juguetes.
[I] t se descubrió que dos de los juguetes prácticamente no están incrustados seguridad. Esto significa que cualquiera puede acceder al micrófono y los altavoces. Dentro de los juguetes, sin necesidad de acceso físico a los productos. Esto es un grave defecto de seguridad, que nunca debería haber estado presente en los juguetes en el primer lugar.
Y de otro de sus informes, también llamado #WatchOut , en relojes "inteligentes" para niños:
[T] wo de los dispositivos tiene fallas que podrían permitir a un posible atacante tomar el control de las aplicaciones, lo que les permite acceder a la ubicación histórica y en tiempo real de los niños, así como detalles personales, así como también permitirles comunicarse con los niños. directamente, todo sin el conocimiento de los padres.
Además, varios de los dispositivos transmiten datos personales a servidores ubicados en América del Norte y Asia Oriental, en algunos casos sin ningún tipo de cifrado. Uno de los relojes también funciona como un dispositivo de escucha, lo que permite que el padre o un extraño con algún conocimiento técnico monitoree el entorno del niño sin una indicación clara en el reloj físico de que esto está ocurriendo.
Los juguetes inteligentes y los dispositivos de entretenimiento para niños están incorporando cada vez más tecnologías que aprenden y adaptan sus comportamientos según las interacciones del usuario. Estas características podrían poner en riesgo la privacidad y la seguridad de los niños debido a la gran cantidad de información personal que puede revelarse involuntariamente.
Entonces, a menos que tenga una necesidad real (aparte de "esto es genial") para este tipo de productos, diría que su mejor enfoque es simplemente mantenerse alejado de ellos.
Realmente depende de tu modelo de amenaza. No estaría particularmente preocupado por un depredador sexual en particular en su área local que tenga las habilidades técnicas necesarias para utilizar a Krack para inyectar la voz en el juguete. A menos que use el controlador de Linux vulnerable, la limpieza de la clave no funcionará y la naturaleza parcial del compromiso para un reinicio general haría que la inyección de voz sea casi imposible.
De manera similar, como dispositivo cliente, no ofrece muchos riesgos de seguridad aparte de posiblemente como dispositivo de escucha, dependiendo de si está siempre activado o activado presionando un botón. Krack no lo haría utilizable como punto de entrada a su red directamente, por lo que no lo veo como un dispositivo particularmente más riesgoso que cualquier otro dispositivo IOT.
Como siempre en seguridad, todo se reduce a su aversión al riesgo. Personalmente, si pensé que sería valioso para mi hijo (que también es 3) no creo que consideraría las implicaciones de seguridad local como una razón para no obtenerlo en el entorno de mi hogar. Estaría más preocupado por los controles y la seguridad en el lado web.
Mi principal preocupación por los dispositivos IOT no es tanto el compromiso local como el compromiso remoto conectado a la web. Las posibilidades de una persona maliciosa suficientemente capacitada y motivada en tu proximidad directa son bastante bajas. Las posibilidades de que un usuario motivado y malintencionado en Internet intente acceder de forma remota al dispositivo IOT son significativamente más altas y es importante comprender qué agujeros perforan los dispositivos en las protecciones de su red.
Además, como Michael tuvo la amabilidad de señalar, es mucho menos probable que los intereses de un pirata informático tan amplio se preocupen por su privacidad y que estén más interesados en los ataques a otras computadoras o en las capacidades informáticas. del dispositivo como un bot de ataque.
Bienvenido a la Internet de las cosas (IoT). Esto es una ... cosa. Por lo tanto, puede ser asimilado
Mirai es un tipo de malware que encuentra automáticamente dispositivos de Internet de las Cosas para infectarlos y los recluta en una red de bots, un grupo de dispositivos informáticos que se pueden controlar de forma centralizada.
Y
Una de las razones por las que Mirai es tan difícil de contener es que se esconde en los dispositivos y, por lo general, no afecta notablemente su rendimiento. No hay razón para que el usuario promedio piense que su cámara web, o más probablemente una pequeña empresa, es potencialmente parte de una red de bots activa. E incluso si lo fuera, no hay mucho que puedan hacer al respecto, al no tener una forma directa de interactuar con el producto infectado.
El problema es que la seguridad es rara vez una consideración al hacer juguetes como este. La tecnología para hacer que todo este trabajo funcione es bastante simple, pero a las empresas no se les paga por pensar en esto. Es el juguete de un niño. Está destinado a ser barato y fácil. Y obtienes lo que pagas.
A principios de este año, se encontró que el juguete de un niño similar no tenía ninguna seguridad (énfasis en el mío)
Un fabricante de juguetes de peluche conectados a Internet ha expuesto más de 2 millones de grabaciones de voz de niños y padres, así como direcciones de correo electrónico y datos de contraseñas de más de 800,000 cuentas.
Los datos de la cuenta se dejaron en una base de datos disponible públicamente que no estaba protegida por una contraseña o colocada detrás de un servidor de seguridad , según una publicación de blog publicada el lunes por Troy Hunt, mantenedora de Have I ¿Has sido Pwned ?, sitio de notificación de incumplimiento. Dijo que las búsquedas en el motor de búsqueda de Shodan y otras pruebas indicaron que, desde el 25 de diciembre y el 8 de enero, varias partes accedieron a los datos del cliente, incluidos los delincuentes que finalmente se quedaron con los datos para obtener un rescate. Las grabaciones estaban disponibles en un servicio alojado en Amazon que no requería autorización para acceder.
Voy a ser honesto. Estas cosas dan miedo en lo que pueden hacer. Incluso si no expone su mensaje, todavía podría usarse para algo malicioso como un ataque DDOS. Si yo fuera tú, transmitiría algo como esto a menos que haya algo explícito sobre seguridad.
Este es prácticamente el mismo tipo de juguete que los CloudPets. Esos eran juguetes que permitían hablar con los niños (juguete) usando una aplicación móvil. La seguridad era terrible. Resultó que tanto los detalles del usuario como las grabaciones de mascotas estaban disponibles en bases de datos sin contraseña. Y la compañía ni siquiera respondió a los correos electrónicos alertándolos de las vulnerabilidades.
Puede ver esta terrorífica historia en el blog de Troy Hunt: enlace
Ahora, es posible que Talkies haya tomado las decisiones correctas (¡es difícil hacer tantas cosas mal como lo hicieron CloudPets!), pero esto muestra el nivel de seguridad de este sector.
Así que no, no confiaría en este juguete con los datos de mis hijos. Sin mencionar cómo podría comprometerse el juguete (p. ej., como Hola Barbie ).
De hecho, Alemania fue tan lejos para prohibir las muñecas Cayla conectadas a Internet por temor a que pudieran ser explotadas para atacar a niños: enlace
cualquier cosa habilitada para Internet supone un riesgo. Como norma, la seguridad es un gasto y los consumidores en general realmente no consideran la seguridad del producto al tomar decisiones de compra. Por ejemplo, recientemente hubo un hilo en Reddit sobre una pareja que se divorció y ella no cambió la contraseña del termostato Nest. Entonces, mientras ella estaba fuera, él encendía el aire acondicionado o calentaba y causaba facturas masivas de servicios públicos. También sabemos de monitores para bebés que se han utilizado para escuchar a los vecinos sin su consentimiento. He asistido a demostraciones de seguridad de TI de interruptores de luz conectados a Internet, que muestran lo fácil que fue atacarlos.
krack es importante, definitivamente, pero en comparación con una postura de seguridad inexistente es irrelevante. Sencillamente, si alguien está preocupado por la seguridad, sugeriría que no compre nada que pueda conectarse a la red a menos que pueda identificar la necesidad de que tenga una conexión de red y que tenga las habilidades para protegerla adecuadamente y a su red.
WRT su círculo de teléfonos de confianza: ¿con qué frecuencia planea administrar esa lista? ¿Cuáles son los medios para unirse a ese círculo de confianza? ¿Sabes cuándo tus amigos venden sus teléfonos para poder retirarlos de tu círculo? (Si su respuesta no es "no" a la última, probablemente no sea realista consigo mismo).
Fomenta la creatividad. Desarrollar habilidades. Dale al niño un montón de bloques de construcción o un tren. Consigue un espirógrafo. Jugar cartas / juegos con ellos. Encuentre algo con lo que jugarán durante horas que no requiera su atención constante.
Esto pone el "IOT" en "IDIOT!".
La mayoría de las compañías que hacen esto no tienen ni idea de cómo evitar que los piratas informáticos se apoderen de ellos, a veces programando ataques cómicos / obvios en ellos.
El exploit KRACK podría ser irrelevante la mitad del tiempo, ya que la mayoría de estos fabricantes no descubrirían cómo implementar alguna forma de cifrado.
Cualquier tipo de grabación de voz habilitada para Internet es una invasión de la privacidad potencialmente espeluznante y francamente peligrosa. Es probable que estos dispositivos utilicen la nube para el procesamiento y almacenamiento de sonido, dado que casi con seguridad se basan en chips ARM de baja calidad y en un almacenamiento flash mínimo y económico como máximo.
Incluso si el dispositivo está fabricado correctamente, no hay una garantía similar en la aplicación en la nube que utiliza. Se sorprendería de la frecuencia con la que los investigadores se topan con datos valiosos de sobra en la nube que el usuario anterior de una instancia de máquina lógica no pudo limpiar.