Leker som oppfører seg dårlig: Hvordan foreldre kan beskytte familien mot IoT-trusler

De Tingenes Internett (IoT) endrer måten vi lever og jobber på. Fra smarte pacemakere til treningssporere, stemmeassistenter til smarte dørklokker, gjør teknologien oss sunnere, tryggere, mer produktive og underholdt.

Samtidig har det også gitt muligheter for produsenter til å markedsføre prangende nye leker for barna våre. De globalt marked for smarte leker er satt til å se prosentvis vekst i tosifrede, til å overstige 24 milliarder dollar innen 2027. Men når tilkobling, data og databehandling møtes, vil personvern og sikkerhetsbekymringer er aldri langt unna.

Sjansen er stor for at du også vurderer å kjøpe en av disse lekene til barna dine og oppmuntrer derfor deres læring og kreativitet. For å beskytte dataene og personvernet ditt (og barnets sikkerhet!), lønner det seg imidlertid å gjøre litt undersøkelser før du tar et sprang inn i verden av tilkoblede leker.

Hva er smarte leker og hva er cyberrisikoen?

Smarte leker har eksistert i flere år. Som enhver IoT-enhet er ideen å bruke tilkobling og intelligens på enheten for å levere mer oppslukende, interaktive og responsive opplevelser. Dette kan inkludere funksjoner som:

• Mikrofoner og kameraer som mottar video og lyd fra barnet
• Høyttalere og skjermer for å videresende lyd og video tilbake til barnet
• Bluetooth for å koble leketøyet til en tilkoblet app
• Internett-tilkobling til hjemme Wi-Fi-ruter

Med denne typen teknologi kan smarte leker gå utover de livløse leketøyene de fleste av oss vokste opp med. De har makten til å engasjere barn gjennom interaksjon frem og tilbake og til og med tilegne seg ny funksjonalitet eller atferd ved å laste ned tilleggsfunksjoner fra internett.

Dessverre kan produsentene spare på beskyttelsestiltak i kampen mot markedet. Som et resultat kan produktene deres inneholde programvaresårbarheter og/eller tillate usikre passord. De kan ta opp data og sende dem skjult til tredjepart, eller de kan kreve at foreldrene legger inn andre sensitive detaljer, men deretter lagrer de på en usikker måte.

Når leker blir dårlige

Det har vært flere eksempler på at dette har skjedd tidligere. Noen av de mest beryktede er:

• Fisher Price Smart Toy Bear ble designet for barn i alderen 3-8 år som "en interaktiv lærevenn som snakker, lytter og 'husker' hva barnet ditt sier og til og med reagerer når det snakkes til." Imidlertid, a feil i den tilkoblede smarttelefonappen kunne ha gjort det mulig for hackere å få uautorisert tilgang til brukerdata.
• CloudPets tillot foreldre og barna deres å dele lydmeldinger via en koseleke. Back-end-databasen som ble brukt til å lagre passord, e-postadresser og selve meldingene ble imidlertid lagret usikkert i skyen. Den ble etterlatt offentlig eksponert på nettet uten passord for å beskytte den.
• My Friend Cayla er en barnedukke utstyrt med smart teknologi, som gjør det mulig for barn å stille spørsmål og få svar tilbake via et internettoppslag. Imidlertid oppdaget forskere en sikkerhetsfeil som kunne tillate hackere å spionere på barn og deres foreldre via dukken. Det ledet tyskeren telekom vakthund for å oppfordre foreldre å henge enheten over personvernhensyn. Mye av det samme skjedde med en smartklokke kalt Safe-KID-One i 2019.

I julen 2019 gjennomførte sikkerhetskonsulentfirmaet NCC Group en studie av syv smarte leker og fant 20 bemerkelsesverdige problemer – inkludert to som ble ansett som «høy risiko» og tre med middels risiko. Det fant disse vanlige problemene:

• Ingen kryptering på kontooppretting og påloggingsprosess, avslører brukernavn og passord.
• Svake passordpolitikk, noe som betyr at brukere kan velg påloggingsinformasjon som er lett å gjette.
• Vage personvernregler, ofte ikke i samsvar med US Children's Online Privacy Protection Rule (COPPA). Andre brøt Storbritannias personvern- og elektroniske kommunikasjonsforskrifter (PECR) ved passivt å samle nettinformasjonskapsler og annen sporingsinformasjon.
• Enhetssammenkobling (dvs. med en annen leke eller app) ble ofte utført via Bluetooth uten at det var nødvendig med autentisering. Dette kan gjøre det mulig for alle innen rekkevidde å koble seg til leketøyet for å:
• Strøm støtende eller opprivende innhold
• Send manipulerende meldinger til barnet
• I noen tilfeller (dvs. walkie talkies for barn) trenger en fremmed bare å kjøpe en annen enhet fra en butikk for å kunne kommunisere med barn i området med samme leketøy.
• Angripere kan teoretisk kapre et smart leketøy med lydfunksjoner for å hacke smarte hjem, ved å sende lydkommandoer til et stemmeaktivert system (dvs. "Alexa, åpne inngangsdøren").

Hvordan redusere personvern- og sikkerhetsrisikoen ved smarte leker

Med smarte leker som representerer en viss grad av sikkerhets- og personvernrisiko, bør du vurdere følgende råd for beste praksis for å motvirke truslene:

• Gjør din undersøkelse før du kjøper: Sjekk om det har vært negativ publisitet eller forskning på modellens sikkerhets- og personvernlegitimasjon.
• Sikre ruteren din. Denne enheten er sentralt i hjemmenettverket ditt og snakker med alle hjemmets internett-tilkoblede enheter.
• Slå av enheter: Slå av enheten når den ikke er i bruk for å minimere risikoen.
• Gjør deg kjent med leken: Samtidig må du sørge for at eventuelle mindre barn er under tilsyn.
• Se etter oppdateringer: Hvis leken kan motta dem, sørg for at den kjører den nyeste fastvareversjonen.
• Velg sikker tilkobling: Sørg for at enheter bruker autentisering når de pares via Bluetooth og bruker kryptert kommunikasjon med hjemmeruteren.
• Forstå hvor data er lagret: Og hvilket rykte selskapet har for sikkerhet.
• Bruk sterke og unike passord når du oppretter kontoer.
• Minimer hvor mye data du deler: Dette vil redusere risikoeksponeringen din hvis dataene blir stjålet og/eller selskapet brytes.

Smarte leker kan virkelig være lærerike og underholdende. Ved først å sikre at dataene dine og barna dine er trygge, vil du kunne lene deg tilbake og nyte moroa.