Spelar leksaker för mycket information på internet? mhong84 / Shutterstock.com
Som Amazon släpper ut en Echo Dot smart-home-enhet riktad till barn, det går in i en upptagen och växande marknad. Mer än en tredjedel av amerikanska bostäder med barn har åtminstone en "internet av saker" kopplad leksak - som en snygg varelse som kan lyssna på och svara på ett barns förfrågningar. Många fler av dessa enheter är på väg, runtom i världen och i Nordamerika specifikt.
Dessa leksaker kopplar trådlöst till online databaser för att känna igen röster och bilder, identifiera barns frågor, kommandon och förfrågningar och svara på dem. De är ofta faktureras som förbättring barns spelkvalitet, ge barn nya erfarenheter av samspel och utveckla barns läskunnighet, numeriska och sociala färdigheter.
Online-enheter höja privatlivets oro för alla sina användare, men barn är särskilt sårbara och har speciella juridiska skydd. Konsumentförespråkare ha upphöjda larm handla om leksakerens osäkra trådlösa internet anslutningar - antingen direkt via Wi-Fi eller via Bluetooth till en smartphone eller surfplatta med internetanslutning.
Som någon med båda akademisk och praktisk erfarenhet av säkerhet, brottsbekämpning och tillämpad teknik, jag vet att dessa rädslor inte är hypotetiska. Här är fyra exempel på när internet av saker leksaker sätta barnens säkerhet och integritet i fara.
1. Osäker trådlös anslutning
Vissa leksaker för internet av saker kan anslutas till smartphone-appar utan någon form av autentisering. Så en användare kan ladda ner en gratis app, hitta en associerad leksak i närheten och kommunicera direkt med barnet som leker med den leksaken. I 2015 upptäckte säkerhetsforskare att Hello Barbie, en internetaktiverad Barbie docka, automatiskt ansluten till osäkrade Wi-Fi-nätverk som sänder nätverksnamnet "Barbie". Det skulle vara mycket enkelt för en angripare att konfigurera ett Wi-Fi-nätverk med det namnet och kommunicera direkt med ett intet ont anande barn.
Samma sak kan hända med osäkrade Bluetooth-anslutningar till Toy-Fi Teddy, I-Que Intelligent Robot och Furby Connect-leksaker, avslöjade en brittisk konsumentvakthundgrupp i 2017.
Leksakerens förmåga att övervaka barn - även när de används som avsedda och kopplade till officiella nätverk som tillhör en leksaks tillverkare - bryter mot Tysklands antidumpningslagar. I 2017 förklarade tyska myndigheterna att min vän Cayla dockan var en "olaglig spionageapparat, "Beställer butiker att dra av den från hyllorna och kräver föräldrar att förstöra eller inaktivera leksakerna.
Osäkrade enheter tillåter angripare att göra mer än bara prata med barn: En leksak kan också prata med en annan internetansluten enhet. I 2017, säkerhetsforskare kapade ett CloudPets-anslutet fyllt djur och använde den för att beställa genom ett Amazon Echo i samma rum.
En kattliknande fylld leksak beställer riktig kattmat:
{youtube}https://youtu.be/7BnMeyAibes{/youtube}
2. Spåra barns rörelser
Vissa internetanslutna leksaker har GPS som de i fitness trackers och smartphones, vilket också kan avslöja användarnas platser, även om dessa användare är barn. Dessutom kan Bluetooth-kommunikation använda vissa leksaker upptäckas så långt bort som 30 fötter. Om någon inom det här området söker efter en Bluetooth-enhet - även om de bara vill para sina egna hörlurar med en smartphone - så kommer de att se leksaken och vet att ett barn är i närheten.
Till exempel fann konsumentrådet i Norge att smartwatches marknadsförs till barn lagrade och sända platser utan kryptering, så att främlingar kan spåra barns rörelser. Den gruppen utgav en varning i sitt land, men upptäckten ledde myndigheterna i Tyskland till förbjuda försäljning av barns smartwatches.
3. Dåligt dataskydd
Internetanslutna leksaker har kameror som tittar på barn och mikrofoner som lyssnar på dem, spelar in vad de ser och hör. Ibland skickar de den informationen till företagets servrar som analyserar ingångarna och skickar tillbaka riktningar om hur leksaken ska svara. Men de funktionerna kan också kapas att lyssna på familjesamtal eller ta bilder eller video av barn utan att barnen eller föräldrarna någonsin märker.
En 11-årig visar regeringens cyberprofessionals hur lätt det är att hacka en nallebjörn:
{youtube}https://youtu.be/8z3XuRQ3-bI{/youtube}
Toy tillverkare garanterar inte alltid att data lagras och överförs säkert, även när lagar kräver det: I 2018, toymaker VTech blev böter US $ 650,000 för att inte uppfylla sina löften för att kryptera privata uppgifter och för att bryta mot amerikanska lagar som skyddar barns integritet.
4. Arbeta med tredje part
Leksaksföretag har också delade informationen de samlar om barn med andra företag - så mycket som Facebook delade sina användares data med Cambridge Analytica och andra företag.
Och de kan också surreptitious dela information från tredje part med barn. Ett leksaksföretag kom under brand, till exempel, i båda Norge och USA för ett affärsförhållande med Disney där My Friend Cayla dockan programmerades för att diskutera vad som beskrivs som dockans favorit Disney-filmer med barn. Föräldrar fick inte veta om detta arrangemang, vilket kritikerna uppgick till "produktplacering"-Stil reklam i en leksak.
Vad kan föräldrar göra?
Enligt min åsikt, och enligt konsumentrådgivning från FBIbör föräldrarna noggrant undersöka internetanslutna leksaker innan de köper dem och utvärdera deras funktioner, funktionssätt och säkerhets- och sekretessinställningar innan de får dessa enheter till sina hem. Utan korrekta skyddsåtgärder - av föräldrar, om inte leksaksföretag - är barn i fara, både individuellt och genom insamling av aggregerade uppgifter om barns aktiviteter.
Enligt min åsikt, och enligt Om författaren
Marie-Helen Maras, docent, Institutionen för säkerhet, brand och akuthantering, John Jay College of Criminal Justice, City University of New York
Den här artikeln publicerades ursprungligen den Avlyssningen. Läs ursprungliga artikeln.
Böcker av denna författare
at InnerSelf Market och Amazon
