Leksaker som beter sig illa: Hur föräldrar kan skydda sin familj från IoT-hot

Smakämnen Sakernas Internet (IoT) förändrar vårt sätt att leva och arbeta. Från smarta pacemakers till fitness trackers, röstassistenter till smarta dörrklockor, tekniken gör oss friskare, säkrare, mer produktiva och underhållna.

Samtidigt har det också gett möjligheter för tillverkare att marknadsföra flashiga nya leksaker för våra barn. De global marknad för smarta leksaker kommer att se procentuell tillväxt med tvåsiffriga siffror, att överstiga 24 miljarder USD år 2027. Men när anslutning, data och datorer möts, kommer integritet och säkerhetsfrågor är aldrig långt borta.

Chansen är stor att du också överväger att köpa en av dessa leksaker till dina barn och på så sätt uppmuntra deras lärande och kreativitet. Men för att skydda din data och integritet (och ditt barns säkerhet!) lönar det sig att göra en del efterforskningar innan du tar ett steg in i världen av uppkopplade leksaker.

Vad är smarta leksaker och vilka är cyberriskerna?

Smarta leksaker har funnits i flera år. Liksom alla IoT-enheter är tanken att använda anslutning och intelligens på enheten för att leverera mer uppslukande, interaktiva och lyhörda upplevelser. Detta kan inkludera funktioner som:

• Mikrofoner och kameror som tar emot video och ljud från barnet
• Högtalare och skärmar för att förmedla ljud och video tillbaka till barnet
• Bluetooth för att länka leksaken till en ansluten app
• Internetanslutning till hem Wi-Fi-router

Med den här typen av teknik kan smarta leksaker gå längre än de livlösa leksakerna de flesta av oss växte upp med. De har kraften att engagera barn genom interaktion fram och tillbaka och till och med skaffa nya funktioner eller beteenden genom att ladda ner ytterligare funktioner från internet.

Tyvärr kan tillverkare snåla med skyddsåtgärder i kapplöpningen till marknaden. Som ett resultat kan deras produkter innehålla sårbarheter i programvara och/eller tillåta osäkra lösenord. De kan spela in data och skicka dem i hemlighet till tredje part, eller så kan de kräva att föräldrar anger andra känsliga detaljer men sedan lagrar dem på ett osäkert sätt.

När leksaker blir dåliga

Det har funnits flera exempel tidigare på att detta har hänt. Några av de mest ökända är:

• Fisher Price Smart Toy Bear designades för barn i åldrarna 3-8 år som "en interaktiv lärande vän som pratar, lyssnar och "kommer ihåg" vad ditt barn säger och till och med svarar när det pratas med." Men en fel i den anslutna smartphone-appen kunde ha gjort det möjligt för hackare att få obehörig åtkomst till användardata.
• CloudPets gjorde det möjligt för föräldrar och deras barn att dela ljudmeddelanden via en gossak. Back-end-databasen som användes för att lagra lösenord, e-postadresser och själva meddelandena lagrades dock osäkert i molnet. Det lämnades offentligt exponerat på nätet utan lösenord för att skydda den.
• My Friend Cayla är en barndocka utrustad med smart teknik, som gör att barn kan ställa frågor och få svar tillbaka, via en internetuppslagning. Men forskare upptäckte ett säkerhetsbrist som kunde tillåta hackare att spionera på barn och deras föräldrar via dockan. Det ledde tysken telekomvakthund att uppmana föräldrar att lägga enheten över integritetsproblem. I stort sett likadant hände med en smartklocka som heter Safe-KID-One i 2019.

Under julen 2019 genomförde säkerhetskonsultföretaget NCC Group en studie av sju smarta leksaker och fann 20 anmärkningsvärda problem – inklusive två som bedömdes som "hög risk" och tre med medelrisk. Den hittade dessa vanliga problem:

• Ingen kryptering på kontoskapande och inloggningsprocess, avslöjar användarnamn och lösenord.
• Svaga lösenordspolicyer, vilket innebär att användare kan välj inloggningsuppgifter som är lätta att gissa.
• Vaga sekretesspolicyer, ofta icke-kompatibla med US Children's Online Privacy Protection Rule (COPPA). Andra bröt mot Storbritanniens regler om integritet och elektronisk kommunikation (PECR) genom att passivt samla webbcookies och annan spårningsinformation.
• Enhetsparning (dvs med en annan leksak eller app) gjordes ofta via Bluetooth utan att autentisering krävs. Detta kan göra det möjligt för vem som helst inom räckhåll att ansluta till leksaken för att:
• Streama stötande eller upprörande innehåll
• Skicka manipulativa meddelanden till barnet
• I vissa fall (dvs barns walkie talkies) skulle en främling bara behöva köpa en annan enhet från en butik för att kunna kommunicera med barn i området med samma leksak.
• Angripare skulle teoretiskt kunna kapa en smart leksak med ljudfunktioner för att hacka smarta hem genom att skicka ljudkommandon till ett röstaktiverat system (dvs. "Alexa, öppna ytterdörren").

Hur man minskar integritets- och säkerhetsriskerna med smarta leksaker

Med smarta leksaker som representerar en viss grad av säkerhets- och integritetsrisker, överväg följande råd om bästa praxis för att motverka hoten:

• Gör din research innan du köper: Kontrollera om det har gjorts negativ publicitet eller forskning om modellens säkerhets- och integritetsuppgifter.
• Säkra din router. Den här enheten är centralt i ditt hemnätverk och pratar med alla hemmets internetanslutna enheter.
• Stäng av enheter: Stäng av enheten när den inte används för att minimera riskerna.
• Bekanta dig med leksaken: Samtidigt se till att eventuella mindre barn är under uppsikt.
• Sök efter uppdateringar: Om leksaken kan ta emot dem, se till att den kör den senaste firmwareversionen.
• Välj säker anslutning: Se till att enheter använder autentisering när de parar ihop via Bluetooth och använder krypterad kommunikation med hemroutern.
• Förstå var all data lagras: Och vilket rykte företaget har för säkerhet.
• Använda starka och unika lösenord när du skapar konton.
• Minimera hur mycket data du delar: Detta kommer att minska din riskexponering om uppgifterna stjäls och/eller företaget brytes.

Smarta leksaker kan verkligen vara pedagogiska och underhållande. Genom att först se till att dina data och barn är säkra, kommer du att kunna luta dig tillbaka och njuta av det roliga.