ทำไมตุ๊กตาเคย์ล่าเพื่อนของฉันที่เชื่อมต่ออินเทอร์เน็ตถูกแบนเป็น "อุปกรณ์จารกรรมซ่อนเร้น"

ตาม CNETตุ๊กตาของฉันเพื่อน Cayla ถูกแบนในเยอรมนีเพราะถูกจัดว่าเป็น "หน่วยสืบราชการลับที่ซ่อนอยู่":

หากคุณกำลังพิจารณาซื้อของเล่นที่เชื่อมต่อกับลูกหลานของคุณคุณอาจต้องการคิดสองครั้ง

ในประเทศเยอรมนีหน่วยงานกำกับดูแลได้พิจารณาแล้วว่าตุ๊กตาเพื่อนของฉัน Cayla อาจจะไม่ดีเพราะมีศักยภาพที่จะขโมยข้อมูลเกี่ยวกับเด็ก ๆ ที่เล่นกับมัน และพวกเขากล่าวว่าผู้ปกครองชาวเยอรมันซึ่งเป็นเด็กที่ครอบครองตุ๊กตาเคย์ล่าควรทำลายของเล่น

สำนักงานเครือข่ายกลางกล่าวในการแถลงข่าวเมื่อวันศุกร์ว่าได้ถอดตุ๊กตา Cayla ออกจากตลาดในประเทศเยอรมนีและจะไม่ดำเนินคดีกับผู้ปกครองที่ซื้อมา อย่างไรก็ตามคาดว่าผู้ปกครองที่ซื้อตุ๊กตาจะรับผิดชอบในการทำลายมัน

ตุ๊กตา Cayla ซึ่งรวมไมโครโฟนและถามเด็ก ๆ เกี่ยวกับตัวเองและพ่อแม่ของพวกเขาจัดว่าเป็น "อุปกรณ์จารกรรมซ่อนเร้น" การครอบครองและการขายซึ่งถูกห้ามโดยกฎหมายเยอรมัน

ผมทำบิตของการวิจัยเกี่ยวกับของเล่นก่อนหน้านี้เมื่อมีคนถามเกี่ยวกับของเล่นและแม้ว่ามันจะดูเหมือนไม่เหมาะสมออกไปเล็กน้อยที่จะส่งคำพูดของเด็กไปยังเซิร์ฟเวอร์เมฆก็ไม่ตรงซ่อน ; อุปกรณ์ถูกโฆษณาว่า 'ฉลาด' และเชื่อมต่อกับอินเทอร์เน็ต

มีข้อบกพร่องอื่น ๆ กับตุ๊กตาที่ทำให้มันผิดกฎหมาย (แฮ็คอาจจะ?) หรือถูกห้ามเพียงเพราะความเป็นส่วนตัวของการส่งข้อมูลไปยังผู้ผลิต?

เมื่อฉันเข้าใจปัญหามีสองประเด็นที่ตุ๊กตาเคย์ล่าแตกต่างจากของเล่นที่ได้รับอนุญาตที่คล้ายกันคือ

• ตุ๊กตามีไฟแสดงเมื่อกำลังส่ง - แต่สามารถปิดได้จากระยะไกล (แอพสมาร์ทโฟน)

• นอกจากนี้การขาดความปลอดภัยในการจับคู่บลูทู ธ (ไม่มีการกดปุ่มไม่มี PIN) หมายความว่ามันค่อนข้างง่ายสำหรับบุคคลที่สามที่จะเข้าควบคุมตุ๊กตา:

  ทุกคนที่อยู่ในรัศมี 15 เมตร [... ] สามารถเชื่อมต่อกับของเล่นได้ตราบใดที่พวกเขาเปิดอยู่และยังไม่ได้จับคู่กับอุปกรณ์อื่นอย่างแข็งขัน

  จาก: #Toyfail การวิเคราะห์ปัญหาผู้บริโภคและความเป็นส่วนตัวในของเล่นสามชิ้นที่เชื่อมต่อกับอินเทอร์เน็ตเดือนธันวาคม 2016, Forbrukerrådet, p. วันที่ 31

การรวมกันหมายความว่าบุคคลที่สามสามารถจับคู่โทรศัพท์กับตุ๊กตาปิดตัวบ่งชี้การส่งและฟังคนที่ไม่สงสัยรอบ ๆ ตุ๊กตา ดังนั้นนี่ไม่ใช่ "เพียง" เกี่ยวกับฝ่ายสามมิติที่ไม่ได้ตระหนักถึงความสามารถในการส่งข้อมูลนี่เป็นความสามารถในการส่งที่ซ่อนอยู่ซึ่งเกือบจะหลีกเลี่ยงไม่ได้กับอุปกรณ์ที่ใช้งานตามวัตถุประสงค์
"สามัญสำนึกความรู้" (รู้ว่าตุ๊กตามีการเชื่อมต่ออินเทอร์เน็ตและความสามารถในการส่งและการส่งแสงไม่ได้อยู่) ไม่เพียงพอที่จะให้ความเป็นส่วนตัวที่นี่ - อย่างน้อยที่สุดหนึ่งจะต้องรู้การหาประโยชน์เหล่านี้แล้วใช้ความระมัดระวังเพิ่มเติมตามลำดับ .

การแถลงข่าวของ Bundesnetzagenturกล่าวว่า:

Ohne Kenntnis der Eltern könnenตายGespräche des Kindes anderer Personen aufgenommen und weitergeleitet werden [... ] Weiter kann ein Spielzeug, wenn ตาย Funkverbindung (wie บลูทู ธ ) อาเจียน Hersteller ไม่ได้มีอะไรที่น่ากลัวมาก, von in Nähe befindlichen Dritten unbemerkt genutzt werden, um Gesprächeabzuhören

คำแปลคร่าวๆ:

สามารถบันทึกและส่งบทสนทนาของเด็กและผู้อื่นได้โดยไม่ต้องใช้ความรู้จากผู้ปกครอง [ส่งไปยังอินเทอร์เน็ต / บุคคลที่ 3] [... ] อีกต่อไปหากการส่งสัญญาณวิทยุ (เช่นบลูทู ธ ) ไม่ปลอดภัยอย่างถูกต้องของเล่นสามารถใช้งานโดยบุคคลที่สามในบริเวณใกล้เคียงเพื่อแตะการสนทนาที่ไม่ได้รับรู้

มันไม่ได้ถูกซ่อนไว้อย่างแน่นอน อุปกรณ์ถูกโฆษณาว่า 'ฉลาด' และเชื่อมต่อกับอินเทอร์เน็ต

ตกลง แต่ถ้าคุณไม่ใช่คนที่ซื้อคุณอาจไม่ทราบว่ากำลังบันทึกคำพูดของคุณและส่งไปยังอินเทอร์เน็ต! เพียงซื้อและให้เป็นของขวัญแก่คนที่คุณต้องการสอดแนม พวกเขาจะคิดว่ามันเป็นแค่ตุ๊กตา ดังนั้นมันจึงเป็นอุปกรณ์จารกรรมที่ซ่อนอยู่

ข่าวในประเทศเยอรมนีที่รายงานว่าภายใต้กฎหมายของเยอรมันตุ๊กตาถือเป็นอุปกรณ์จารกรรมที่ซ่อนอยู่ราวกับว่าเป็นของเล่นธรรมดาที่ไม่มีชิ้นส่วนอิเลคทรอนิกส์ให้กับผู้ที่ไม่ทราบเกี่ยวกับหน้าที่ของมันเลยมันสามารถบันทึกและส่งข้อมูลได้ .

สิ่งนี้อยู่ภายใต้ "Miss 90 Missbrauch von Sende- oder sonstigen Telekommunikationsanlagen" ของ Telekommunikationsgesetz (TKG) และถูกห้ามภายในประเทศ

แหล่งที่มา:

• http://www.zeit.de/digital/datenschutz/2017-02/my-friend-cayla-puppe-spion-bundesnetzagentur
• https://www.gesetze-im-internet.de/tkg_2004/__90.html

หนึ่งในปัญหาสำคัญกับ My Friend Cayla คือไฟล์เสียงที่ส่งจะไม่ได้รับการบันทึกอย่างปลอดภัย Ken Munroทำการวิเคราะห์อย่างละเอียดเกี่ยวกับเรื่องนี้ (และอุปกรณ์ IoT อื่น ๆ อีกมากมาย) และชี้ให้เห็นว่าไฟล์เสียงมีอยู่บนอินเทอร์เน็ตที่มีการควบคุมการเข้าถึงที่ไม่ดี!

ดังนั้นไม่ใช่แค่ทุกอย่างที่ลูกของคุณบอกว่าไปที่เซิร์ฟเวอร์ที่ไหนสักแห่งคนอื่น ๆ สามารถฟังได้ ...

(คำแนะนำ - เพื่อความปลอดภัย IoT ติดตาม Ken Munro คุณจะประหลาดใจกับการเข้าถึงที่เขาได้รับไม่ใช่แค่อุปกรณ์ IoT แต่ผ่านพวกเขาไปยังคอมพิวเตอร์ที่บ้านรหัสผ่านและอื่น ๆ !)