×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

FBI publiceert waarschuwing voor privacyrisico van 'connected' speelgoed

Door , 35 reacties

De FBI heeft een waarschuwing gepubliceerd waarin aandacht wordt besteed aan de privacyrisico's van speelgoed dat verbinding kan maken met internet. Consumenten worden opgeroepen om de veiligheid van speelgoed zelf onder de loep te nemen.

In de waarschuwing schrijft de opsporingsdienst dat consumenten zelf onderzoek moeten uitvoeren voor een aankoop. Zo is het verstandig om bekende beveiligingsproblemen na te lopen en te kijken welke verbindingsmogelijkheden het speelgoed bezit, bijvoorbeeld via wifi of bluetooth. Daarnaast zou het verstandig zijn om te controleren of het speelgoed updates kan ontvangen en na te gaan waar gegevens worden opgeslagen.

Over de risico's zegt de FBI dat dergelijk speelgoed vaak is uitgerust met een microfoon, waardoor geluid in de nabije omgeving opgenomen kan worden. Hierdoor kan bijvoorbeeld gevoelige informatie opgevangen worden, zoals persoonsgegevens van een kind. Daarnaast is het speelgoed soms uitgerust met gps of een videocamera. Doordat de verzamelde gegevens soms op een server met gebrekkige beveiliging worden opgeslagen, is het mogelijk dat derden toegang krijgen. Soms worden de verzamelde gegevens ook met derden gedeeld.

Dat gegevens die door speelgoed worden verzameld, kunnen uitlekken, bleek toen er dit jaar een MongoDB-database met de gegevens van 800.000 Cloudpets-accounts werd gevonden. Daaronder waren geluidsopnames te vinden. Onder meer Nederlandse en Belgische consumentenorganisaties waarschuwden eind vorig jaar bovendien voor de zogenaamde Cayla-poppen en i-Que-robots. Deze waren slecht beveiligd en vormden daardoor een privacyrisico. Een Duitse toezichthouder adviseerde ouders vervolgens het speelgoed onschadelijk te maken.

Door Sander van Voorst

Nieuwsredacteur

18-07-2017 • 08:59

35 Linkedin Google+

Reacties (35)

Wijzig sortering
Eigenlijk is alles wat met het internet verbonden kan worden potentieel onveilig, zelfs je koelkast.
Samsung Smart refrigerator hack exposes Gmail login credentials
A bonus feature on a smart home product becomes a security liability.
Lekken van je Wifi wachtwoord kan natuurlijk ook. Is nog veel gevaarlijker.....
Valt wel mee. Om je wifi je misbruiken moet je in ontvangstbereik zijn. Meestal betekent dat ergens voor je deur, of bij de buren. Dan moet een aanvaller dus sowieso al je locatie weten (misschien tegenwoordig niet zo moeilijk meer met gps in zo veel apparaten en Google die het al vriendelijk voor je bijhoudt).
Een email wachtwoord misbruiken kan van over de hele wereld en hoef je alleen maar de credentials te hebben.
Valt wel mee. Om je wifi je misbruiken moet je in ontvangstbereik zijn. Meestal betekent dat ergens voor je deur, of bij de buren. Dan moet een aanvaller dus sowieso al je locatie weten [...]
Locatie is ook te herleiden met wifi triangulation d.m.v. Google's Geolocation API. De data komt van de Street View auto's die naast foto's en diepte scans van de omgeving ook alle wifi netwerken registreren en koppelen aan de GPS informatie.

Dus de firmware of malware hoeft alleen maar de wifi netwerken en signaalsterkte naar de gratis API te sturen om zo vrij nauwkeurig de fysieke locatie te bepalen.
Daarom moet verbinden met internet opt-IN worden inplaats van opt-out.
Dat geldt voor zowel smartphone of desktop apps als dit soort apparaten.

De hypocrisie van de ICT wereld druipt er vanaf, zolang ze steeds aan de ene kant veiligheid propageren maar aan de andere kant 'alles in de cloud' en iot verbindingen tot aan kinderspeelgoed het walhalla zijn.
Zolang er geen simkaart in zit kan zo'n speeltje alleen via de wifi naar buiten, en daar kom je makkelijk van af door gewoon de wifi niet in te stellen. Zo'n ding kan toch je wachtwoord niet gokken. Voor smartphones is het een ander verhaal. Daar zou ik graag de mogelijkheid om per app mobiele data te blokkeren uitgebreid zien worden naar helemaal geen data toestaan (ook niet over wifi). En niet iedere keer van die vervelende popups bij het opstarten van een geblokkeerde app. Ik weet zelf wel dat ik het uit heb gezet.

Met die hypocrisie valt het wel mee. De "ICT wereld" is namelijk niet 1 wereld, dat zijn een heleboel afzonderlijke clubjes met eigen belangen. Voor bv een VTech valt er geld te verdienen met cloud-troep en datamining (van nietsvermoedende kinderen nog wel...), maar voor een bedrijf met een database vol klantgegevens moet alles zo veilig mogelijk. Het zijn de techies die alles veilig willen en de managers en marketingmensen die graag die veiligheid aan de kant willen schuiven voor een quick buck. Die moet je natuurlijk niet over 1 kam scheren.
Daar zou ik graag de mogelijkheid om per app mobiele data te blokkeren uitgebreid zien worden naar helemaal geen data toestaan (ook niet over wifi). En niet iedere keer van die vervelende popups bij het opstarten van een geblokkeerde app. Ik weet zelf wel dat ik het uit heb gezet.
Bij Huawei zit dat standaard in. En daarnaast kun je met Adguard (je hebt ook Netguard, maar ik vind Adguard beter) een dummy VPN opzetten die bepaalde apps blokkeert van internettoegang waar je wifi en 4G afzonderlijk kunt blokkeren. En je kunt het zo instellen dat elke nieuw geinstalleerde app standaard geen internettoegang heeft (wat je later kunt veranderen).
Als je root hebt kan dat met AFWall+, maar die werkt met IPtables.
Met die hypocrisie valt het wel mee. De "ICT wereld" is namelijk niet 1 wereld, dat zijn een heleboel afzonderlijke clubjes met eigen belangen. Voor bv een VTech valt er geld te verdienen met cloud-troep en datamining (van nietsvermoedende kinderen nog wel...), maar voor een bedrijf met een database vol klantgegevens moet alles zo veilig mogelijk. Het zijn de techies die alles veilig willen en de managers en marketingmensen die graag die veiligheid aan de kant willen schuiven voor een quick buck. Die moet je natuurlijk niet over 1 kam scheren.
Inderdaad. Het vetgedrukte citaat is hetgene wat ik bedoel.
Oud nieuws, we weten toch allemaal dat de meeste IoT fabrikanten weinig tot geen aandacht besteden aan security.
Dat wij, tweakers, dat weten, wil niet zeggen dat iedereen dat weet.
Maar dit is ook een nieuwsbericht op Tweakers. :X
Nee, dat weet niet iedereen. Voor al die ouders die lekker goedkope meuk bij de Action of op AliExpress halen, hebben denk ik geen idee wat dat speelgoed allemaal kan. Het zijn bijna verboden moeten worden om dat soort cheap connected spul te maken of er zoe een waarschuwing op moeten met de risicos... Maar ja...

Overigens kan ik me voorstellen dat andere overheidsdiensten dit soort speelgoed weer toejuigen... Microphones. Microphones, everywhere.
Die worden dan gecompenseerd door al die drones die overal komen en waarvan de beveiliging tegen het landen in gevangenissen met contrabande of het binnenhof met een microfoon of bom makkelijk uit te schakelen is.
Toch is het eng om dit soort dingen te zien.
Ik vroeg me al af hoe snel ik een troy hunt artikel zou terug vinden in de comments hiero xD
Zo snel als Hashcat een MD5 Rainbow table van breach 1001 door gaat, verwacht ik :P
Alle waarschuwingen gelden natuurlijk ook voor grote mensen speelgoed. Smart TV's zijn aangesloten op het Internet en zijn meestal voorzien van een microfoon en soms ook een camera. We weten al dat hier misbruik van gemaakt wordt:

https://theintercept.com/...s-into-listening-devices/

En, wat gebeurt er als er beveiligingsproblemen zijn? Zal een fabrikant van een smart TV deze gedurende de leeftijd van de TV netjes verhelpen?

Voor mij geen smart TV in de slaapkamer :-)
Alle waarschuwingen gelden natuurlijk ook voor grote mensen speelgoed.
Dildo's? :+
En, wat gebeurt er als er beveiligingsproblemen zijn? Zal een fabrikant van een smart TV deze gedurende de leeftijd van de TV netjes verhelpen?
Volgens mij is dat al algemeen bekend: smart-TV's worden ongeveer 1 tot 2 jaar ondersteund nadat ze uitgebracht worden. Koop je dus een verouderd model van 2 jaar geleden krijg je er geen updates meer op. Niet voor beveiliging en al helemaal niet voor functionaliteit. Tenzij ze er functies uit willen slopen of reclame toevoegen, dan kan het ineens wel.
Voor mij geen smart TV in de slaapkamer :-)
Voor mij helemaal nergens een smart-TV, die dingen zijn niet te vertrouwen.
je lacht erom maar ja er bestaat grote mensen speelgoed dat der middel van de wifi verbind.
Word vaak gebruikt door lange afstand relaties om toch op afstand een beetje met elkaar te spelen. (en nee dan bedoel ik geen mario kart)
Smart TV met je eens, mijn TV heeft de optie maar niet verbonden, zie er geen nut van in.
Ja, ik weet dat ze bestaan, daarom nam ik dat als voorbeeld.
http://www.newsweek.com/s...-risk-being-hacked-437366
Ik vind het eigenlijk best absurd dat de maatschappij het blijkbaar al normaal vind om je dildo met het internet te verbinden... Is er niemand meer die zich bij zoiets zorgen maakt om z'n privacy?
Ook dat en een Chromecast is gewoon beter :D
Een Chromecast is van Google. Dat is zélf een datamining bedrijf en dus geen haar beter dan je spionerende smart-TV.
Mijn data is veiliger bij google dan bij willekeurig tv bedrijf waarvan data geen core business is. Ik doelde op updates en functionaliteit
Consumenten worden opgeroepen om de veiligheid van speelgoed zelf onder de loep te nemen.
Effectief kun je dus geen enkel product vertrouwen als de fabrikant niet volledig transparant is. Dan nog is het maar de vraag hoe transparant zij werkelijk zijn en hoe duidelijk zij het vermelden. Ik lees vaak zat 'wij versturen informatie om de prestaties en fouten in het product te verbeteren', wat dan blijkbaar inhoud: 'we versturen alle data die we kunnen verzamelen naar ons hoofdkantoor en kijken dan wel wat we er mee doen'.

Daarnaast lijkt het mij niet wenselijk die controle bij de consument neer te leggen. Als een consument niet weet waar hij/zij op moet letten, dan gaat dat natuurlijk nooit lukken. Zelfs als Tweaker zijnde moet ik nog regelmatig behoorlijk diep in producten duiken om er achter te komen hoe ze nou daadwerkelijk werken. Zelfs met Windows 10 was dat voor mij niet direct duidelijk.
Gewoon geen producten met netwerkmogelijkheden (of erger nog, een smartphone app) kopen. Die kun je allemaal niet vertrouwen, ook niet als de fabrikant transparant is. Zelfs als je de fabrikant volledig vertrouwt (maar waarom zou je dat doen?) weet je nog steeds niet hoe goed ze hun beveiliging op orde hebben.
En morgen lezen we dat de NSA belastend materiaal tegen een aantal FBI medewerkers heeft gevonden :P

Ze drijven hier wel lekker spaken in de wielen van de NSA, maar ja, die instanties liggen elkaar onderling volgens mij ook niet :P
Ze drijven hier wel lekker spaken in de wielen van de NSA, maar ja, die instanties liggen elkaar onderling volgens mij ook niet :P
Dat klopt en wordt veroorzaakt door een cultuurverschil. De NSA is een spionage organisatie en doet daarom in vermoedens, geruchten en handelen met incomplete kennis. De FBI is een recherche organisatie en moeten dus door middel van rechtmatig onderzoek met feiten en bewijzen komen. Dit verschil in aanpak botst nogal eens.
Ach, vanuit dat opzicht is t hypocriet. De FBI wilde zelf ook een backdoor in encryptie en speciale iPhone firmware om oneindig te kunnen bruteforcen; dus wat dat betreft mogen ze t volk ook wel tegen henzelf waarschuwen :P
volgens mij is er een verschil in het afluisteren van kinderen en het afluisteren van criminelen...
Ligt eraan. Als je sleepnetten uitwerpt en een encryptie backdoor wil dan zullen daar ook kinderen tussenzitten. Geen Amerikaanse kinderen weliswaar, want dát is wel verboden, maar toch... Een sleepnet discrimineert niet, want is ongericht.
Als het me nog goed bijstaat is dat inderdaad verboden... voor de NSA en CIA... Dus wel mogelijk als je toevallig de FBI of HS bent ;) Met name die laatste wordt nogal eens vergeten volgens mij (Homeland Security - Ben ik trouwens de enige die een "403 - Access forbidden" krijgt op die URL?)
Ik kan wel op de website komen (wel via het hva eduroam netwerk in Amsterdam)
Totdat een kind een criminele ouder heeft :)
Je zou kunnen zeggen dat de FBI en NSA elk uit meerdere afdelingen bestaan, elk met andere (en soms tegenstrijdige) doelen.
Volgens mij is het meer; het een zeggen en het andere doen, ook tegen eigen staff.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*