FBI publiceert waarschuwing voor privacyrisico van 'connected' speelgoed

De FBI heeft een waarschuwing gepubliceerd waarin aandacht wordt besteed aan de privacyrisico's van speelgoed dat verbinding kan maken met internet. Consumenten worden opgeroepen om de veiligheid van speelgoed zelf onder de loep te nemen.

FBIIn de waarschuwing schrijft de opsporingsdienst dat consumenten zelf onderzoek moeten uitvoeren voor een aankoop. Zo is het verstandig om bekende beveiligingsproblemen na te lopen en te kijken welke verbindingsmogelijkheden het speelgoed bezit, bijvoorbeeld via wifi of bluetooth. Daarnaast zou het verstandig zijn om te controleren of het speelgoed updates kan ontvangen en na te gaan waar gegevens worden opgeslagen.

Over de risico's zegt de FBI dat dergelijk speelgoed vaak is uitgerust met een microfoon, waardoor geluid in de nabije omgeving opgenomen kan worden. Hierdoor kan bijvoorbeeld gevoelige informatie opgevangen worden, zoals persoonsgegevens van een kind. Daarnaast is het speelgoed soms uitgerust met gps of een videocamera. Doordat de verzamelde gegevens soms op een server met gebrekkige beveiliging worden opgeslagen, is het mogelijk dat derden toegang krijgen. Soms worden de verzamelde gegevens ook met derden gedeeld.

Dat gegevens die door speelgoed worden verzameld, kunnen uitlekken, bleek toen er dit jaar een MongoDB-database met de gegevens van 800.000 Cloudpets-accounts werd gevonden. Daaronder waren geluidsopnames te vinden. Onder meer Nederlandse en Belgische consumentenorganisaties waarschuwden eind vorig jaar bovendien voor de zogenaamde Cayla-poppen en i-Que-robots. Deze waren slecht beveiligd en vormden daardoor een privacyrisico. Een Duitse toezichthouder adviseerde ouders vervolgens het speelgoed onschadelijk te maken.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 18-07-2017 08:59 35

18-07-2017 • 08:59

35

Lees meer

Door Cloudpets-speelgoed opgenomen gesprekken waren toegankelijk via internet
Door Cloudpets-speelgoed opgenomen gesprekken waren toegankelijk via internet Nieuws van 28 februari 2017
Duitse toezichthouder adviseert ouders 'connected' pop onschadelijk te maken
Duitse toezichthouder adviseert ouders 'connected' pop onschadelijk te maken Nieuws van 17 februari 2017
Consumentenorganisaties dienen klachten in om 'slim' speelgoed - update
Consumentenorganisaties dienen klachten in om 'slim' speelgoed - update Nieuws van 6 december 2016
VTech-hack betrof profielen van 6,4 miljoen kinderen in plaats van 200.000
VTech-hack betrof profielen van 6,4 miljoen kinderen in plaats van 200.000 Nieuws van 2 december 2015
Meer producten en artikelen
Privacy Verenigde staten

Reacties (35)

-Moderatie-faq
35
34
25
0
0
2
Wijzig sortering
Wasabi! 18 juli 2017 09:59
Eigenlijk is alles wat met het internet verbonden kan worden potentieel onveilig, zelfs je koelkast.
Samsung Smart refrigerator hack exposes Gmail login credentials
A bonus feature on a smart home product becomes a security liability.
Rob vd Hoeven @Wasabi!18 juli 2017 10:05
Lekken van je Wifi wachtwoord kan natuurlijk ook. Is nog veel gevaarlijker.....
kozue @Rob vd Hoeven18 juli 2017 16:30
Valt wel mee. Om je wifi je misbruiken moet je in ontvangstbereik zijn. Meestal betekent dat ergens voor je deur, of bij de buren. Dan moet een aanvaller dus sowieso al je locatie weten (misschien tegenwoordig niet zo moeilijk meer met gps in zo veel apparaten en Google die het al vriendelijk voor je bijhoudt).
Een email wachtwoord misbruiken kan van over de hele wereld en hoef je alleen maar de credentials te hebben.
FvdM @kozue18 juli 2017 20:02
Valt wel mee. Om je wifi je misbruiken moet je in ontvangstbereik zijn. Meestal betekent dat ergens voor je deur, of bij de buren. Dan moet een aanvaller dus sowieso al je locatie weten [...]
Locatie is ook te herleiden met wifi triangulation d.m.v. Google's Geolocation API. De data komt van de Street View auto's die naast foto's en diepte scans van de omgeving ook alle wifi netwerken registreren en koppelen aan de GPS informatie.

Dus de firmware of malware hoeft alleen maar de wifi netwerken en signaalsterkte naar de gratis API te sturen om zo vrij nauwkeurig de fysieke locatie te bepalen.
skatebiker @Wasabi!18 juli 2017 10:19
Daarom moet verbinden met internet opt-IN worden inplaats van opt-out.
Dat geldt voor zowel smartphone of desktop apps als dit soort apparaten.

De hypocrisie van de ICT wereld druipt er vanaf, zolang ze steeds aan de ene kant veiligheid propageren maar aan de andere kant 'alles in de cloud' en iot verbindingen tot aan kinderspeelgoed het walhalla zijn.
kozue @skatebiker18 juli 2017 16:23
Zolang er geen simkaart in zit kan zo'n speeltje alleen via de wifi naar buiten, en daar kom je makkelijk van af door gewoon de wifi niet in te stellen. Zo'n ding kan toch je wachtwoord niet gokken. Voor smartphones is het een ander verhaal. Daar zou ik graag de mogelijkheid om per app mobiele data te blokkeren uitgebreid zien worden naar helemaal geen data toestaan (ook niet over wifi). En niet iedere keer van die vervelende popups bij het opstarten van een geblokkeerde app. Ik weet zelf wel dat ik het uit heb gezet.

Met die hypocrisie valt het wel mee. De "ICT wereld" is namelijk niet 1 wereld, dat zijn een heleboel afzonderlijke clubjes met eigen belangen. Voor bv een VTech valt er geld te verdienen met cloud-troep en datamining (van nietsvermoedende kinderen nog wel...), maar voor een bedrijf met een database vol klantgegevens moet alles zo veilig mogelijk. Het zijn de techies die alles veilig willen en de managers en marketingmensen die graag die veiligheid aan de kant willen schuiven voor een quick buck. Die moet je natuurlijk niet over 1 kam scheren.
skatebiker @kozue19 juli 2017 08:49
Daar zou ik graag de mogelijkheid om per app mobiele data te blokkeren uitgebreid zien worden naar helemaal geen data toestaan (ook niet over wifi). En niet iedere keer van die vervelende popups bij het opstarten van een geblokkeerde app. Ik weet zelf wel dat ik het uit heb gezet.
Bij Huawei zit dat standaard in. En daarnaast kun je met Adguard (je hebt ook Netguard, maar ik vind Adguard beter) een dummy VPN opzetten die bepaalde apps blokkeert van internettoegang waar je wifi en 4G afzonderlijk kunt blokkeren. En je kunt het zo instellen dat elke nieuw geinstalleerde app standaard geen internettoegang heeft (wat je later kunt veranderen).
Als je root hebt kan dat met AFWall+, maar die werkt met IPtables.
Met die hypocrisie valt het wel mee. De "ICT wereld" is namelijk niet 1 wereld, dat zijn een heleboel afzonderlijke clubjes met eigen belangen. Voor bv een VTech valt er geld te verdienen met cloud-troep en datamining (van nietsvermoedende kinderen nog wel...), maar voor een bedrijf met een database vol klantgegevens moet alles zo veilig mogelijk. Het zijn de techies die alles veilig willen en de managers en marketingmensen die graag die veiligheid aan de kant willen schuiven voor een quick buck. Die moet je natuurlijk niet over 1 kam scheren.
Inderdaad. Het vetgedrukte citaat is hetgene wat ik bedoel.
Chuk 18 juli 2017 09:08
Oud nieuws, we weten toch allemaal dat de meeste IoT fabrikanten weinig tot geen aandacht besteden aan security.
Verwijderd @Chuk18 juli 2017 09:09
Dat wij, tweakers, dat weten, wil niet zeggen dat iedereen dat weet.
Arashi_NL @Verwijderd18 juli 2017 10:19
Maar dit is ook een nieuwsbericht op Tweakers. :X
iAR @Chuk18 juli 2017 09:45
Nee, dat weet niet iedereen. Voor al die ouders die lekker goedkope meuk bij de Action of op AliExpress halen, hebben denk ik geen idee wat dat speelgoed allemaal kan. Het zijn bijna verboden moeten worden om dat soort cheap connected spul te maken of er zoe een waarschuwing op moeten met de risicos... Maar ja...

Overigens kan ik me voorstellen dat andere overheidsdiensten dit soort speelgoed weer toejuigen... Microphones. Microphones, everywhere.
Verwijderd @iAR18 juli 2017 15:56
Die worden dan gecompenseerd door al die drones die overal komen en waarvan de beveiliging tegen het landen in gevangenissen met contrabande of het binnenhof met een microfoon of bom makkelijk uit te schakelen is.
Stoelpoot @Chuk18 juli 2017 09:30
Toch is het eng om dit soort dingen te zien.
omkelderman @Stoelpoot18 juli 2017 10:51
Ik vroeg me al af hoe snel ik een troy hunt artikel zou terug vinden in de comments hiero xD
Stoelpoot @omkelderman18 juli 2017 10:57
Zo snel als Hashcat een MD5 Rainbow table van breach 1001 door gaat, verwacht ik :P
Rob vd Hoeven 18 juli 2017 09:47
Alle waarschuwingen gelden natuurlijk ook voor grote mensen speelgoed. Smart TV's zijn aangesloten op het Internet en zijn meestal voorzien van een microfoon en soms ook een camera. We weten al dat hier misbruik van gemaakt wordt:

https://theintercept.com/...s-into-listening-devices/

En, wat gebeurt er als er beveiligingsproblemen zijn? Zal een fabrikant van een smart TV deze gedurende de leeftijd van de TV netjes verhelpen?

Voor mij geen smart TV in de slaapkamer :-)
kozue @Rob vd Hoeven18 juli 2017 16:27
Alle waarschuwingen gelden natuurlijk ook voor grote mensen speelgoed.
Dildo's? :+
En, wat gebeurt er als er beveiligingsproblemen zijn? Zal een fabrikant van een smart TV deze gedurende de leeftijd van de TV netjes verhelpen?
Volgens mij is dat al algemeen bekend: smart-TV's worden ongeveer 1 tot 2 jaar ondersteund nadat ze uitgebracht worden. Koop je dus een verouderd model van 2 jaar geleden krijg je er geen updates meer op. Niet voor beveiliging en al helemaal niet voor functionaliteit. Tenzij ze er functies uit willen slopen of reclame toevoegen, dan kan het ineens wel.
Voor mij geen smart TV in de slaapkamer :-)
Voor mij helemaal nergens een smart-TV, die dingen zijn niet te vertrouwen.
HADES2001 @kozue18 juli 2017 16:52
je lacht erom maar ja er bestaat grote mensen speelgoed dat der middel van de wifi verbind.
Word vaak gebruikt door lange afstand relaties om toch op afstand een beetje met elkaar te spelen. (en nee dan bedoel ik geen mario kart)
Smart TV met je eens, mijn TV heeft de optie maar niet verbonden, zie er geen nut van in.
kozue @HADES200118 juli 2017 17:05
Ja, ik weet dat ze bestaan, daarom nam ik dat als voorbeeld.
http://www.newsweek.com/s...-risk-being-hacked-437366
Ik vind het eigenlijk best absurd dat de maatschappij het blijkbaar al normaal vind om je dildo met het internet te verbinden... Is er niemand meer die zich bij zoiets zorgen maakt om z'n privacy?
jochem4207 @Rob vd Hoeven18 juli 2017 10:40
Ook dat en een Chromecast is gewoon beter :D
kozue @jochem420718 juli 2017 16:24
Een Chromecast is van Google. Dat is zélf een datamining bedrijf en dus geen haar beter dan je spionerende smart-TV.
jochem4207 @kozue18 juli 2017 16:29
Mijn data is veiliger bij google dan bij willekeurig tv bedrijf waarvan data geen core business is. Ik doelde op updates en functionaliteit
Zenomyscus 18 juli 2017 09:51
Consumenten worden opgeroepen om de veiligheid van speelgoed zelf onder de loep te nemen.
Effectief kun je dus geen enkel product vertrouwen als de fabrikant niet volledig transparant is. Dan nog is het maar de vraag hoe transparant zij werkelijk zijn en hoe duidelijk zij het vermelden. Ik lees vaak zat 'wij versturen informatie om de prestaties en fouten in het product te verbeteren', wat dan blijkbaar inhoud: 'we versturen alle data die we kunnen verzamelen naar ons hoofdkantoor en kijken dan wel wat we er mee doen'.

Daarnaast lijkt het mij niet wenselijk die controle bij de consument neer te leggen. Als een consument niet weet waar hij/zij op moet letten, dan gaat dat natuurlijk nooit lukken. Zelfs als Tweaker zijnde moet ik nog regelmatig behoorlijk diep in producten duiken om er achter te komen hoe ze nou daadwerkelijk werken. Zelfs met Windows 10 was dat voor mij niet direct duidelijk.
kozue @Zenomyscus18 juli 2017 16:03
Gewoon geen producten met netwerkmogelijkheden (of erger nog, een smartphone app) kopen. Die kun je allemaal niet vertrouwen, ook niet als de fabrikant transparant is. Zelfs als je de fabrikant volledig vertrouwt (maar waarom zou je dat doen?) weet je nog steeds niet hoe goed ze hun beveiliging op orde hebben.
Neko Koneko 18 juli 2017 09:01
En morgen lezen we dat de NSA belastend materiaal tegen een aantal FBI medewerkers heeft gevonden :P

Ze drijven hier wel lekker spaken in de wielen van de NSA, maar ja, die instanties liggen elkaar onderling volgens mij ook niet :P
rbr320 @Neko Koneko18 juli 2017 09:35
Ze drijven hier wel lekker spaken in de wielen van de NSA, maar ja, die instanties liggen elkaar onderling volgens mij ook niet :P
Dat klopt en wordt veroorzaakt door een cultuurverschil. De NSA is een spionage organisatie en doet daarom in vermoedens, geruchten en handelen met incomplete kennis. De FBI is een recherche organisatie en moeten dus door middel van rechtmatig onderzoek met feiten en bewijzen komen. Dit verschil in aanpak botst nogal eens.
WhatsappHack
@Neko Koneko18 juli 2017 09:04
Ach, vanuit dat opzicht is t hypocriet. De FBI wilde zelf ook een backdoor in encryptie en speciale iPhone firmware om oneindig te kunnen bruteforcen; dus wat dat betreft mogen ze t volk ook wel tegen henzelf waarschuwen :P
wildcheese @WhatsappHack18 juli 2017 09:11
volgens mij is er een verschil in het afluisteren van kinderen en het afluisteren van criminelen...
WhatsappHack
@wildcheese18 juli 2017 09:16
Ligt eraan. Als je sleepnetten uitwerpt en een encryptie backdoor wil dan zullen daar ook kinderen tussenzitten. Geen Amerikaanse kinderen weliswaar, want dát is wel verboden, maar toch... Een sleepnet discrimineert niet, want is ongericht.
rkeet @WhatsappHack18 juli 2017 12:25
Als het me nog goed bijstaat is dat inderdaad verboden... voor de NSA en CIA... Dus wel mogelijk als je toevallig de FBI of HS bent ;) Met name die laatste wordt nogal eens vergeten volgens mij (Homeland Security - Ben ik trouwens de enige die een "403 - Access forbidden" krijgt op die URL?)
morrisz @rkeet18 juli 2017 13:07
Ik kan wel op de website komen (wel via het hva eduroam netwerk in Amsterdam)
MartijnHavinga @wildcheese18 juli 2017 09:16
Totdat een kind een criminele ouder heeft :)
The Zep Man
@WhatsappHack18 juli 2017 09:10
Je zou kunnen zeggen dat de FBI en NSA elk uit meerdere afdelingen bestaan, elk met andere (en soms tegenstrijdige) doelen.
Rubixd @The Zep Man18 juli 2017 09:15
Volgens mij is het meer; het een zeggen en het andere doen, ook tegen eigen staff.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq