Soyez très, très prudent. Ce n'est pas KRACK qui est le problème, c'est une attitude laxiste envers la sécurité et la confidentialité en général. Les produits de consommation dits «intelligents» peuvent souvent être détournés, consultés sur Internet ou surveillés. En tant que client, il est difficile de savoir si un produit spécifique est sûr ou non.

Le Conseil norvégien des consommateurs a été sur le cas pendant un certain temps et a produit quelques horreurs histoires. À partir d'un rapport, intitulé à juste titre #ToyFail, sur trois poupées «intelligentes»:

En examinant les conditions d'utilisation et les politiques de confidentialité des jouets connectés, la CCN a trouvé un manque général déconcertant de respect des droits fondamentaux des consommateurs et de la vie privée. [...]

En outre, les termes sont généralement vagues sur la conservation des données, et se réservent le droit de résilier le service à tout moment sans raison suffisante. De plus, deux des jouets transfèrent des informations personnelles à un tiers commercial, qui se réserve le droit d'utiliser ces informations à des fins pratiquement quelconques, sans rapport avec la fonctionnalité des jouets eux-mêmes.

[I] l a été découvert que deux des jouets n'ont pratiquement aucune sécurité intégrée. Cela signifie que n'importe qui peut avoir accès au microphone et aux haut-parleurs à l'intérieur des jouets, sans avoir besoin d'un accès physique aux produits. Il s'agit d'une faille de sécurité grave, qui n'aurait jamais dû être présente dans les jouets en premier lieu.

Et d'après un autre de leurs rapports, encore une fois bien nommé #WatchOut , sur les montres «intelligentes» pour enfants:

[T] deux des appareils présentent des défauts qui pourraient permettre à un attaquant potentiel de prendre le contrôle des applications, accédant ainsi aux enfants en temps réel et l'emplacement historique et les détails personnels, ainsi que leur permettant même de contacter les enfants directement, le tout à l'insu des parents.

De plus, plusieurs appareils transmettent des données personnelles à des serveurs situés en Amérique du Nord et en Asie de l'Est, dans certains cas sans aucun cryptage en place. L'une des montres fonctionne également comme un dispositif d'écoute, permettant au parent ou à un inconnu ayant des connaissances techniques de surveiller en audio l'environnement de l'enfant sans aucune indication claire sur la montre physique que cela a lieu.

Et le FBI est d'accord:

Les jouets intelligents et les appareils de divertissement pour enfants intègrent de plus en plus des technologies qui apprennent et adaptent leurs comportements en fonction des interactions des utilisateurs. Ces fonctionnalités peuvent mettre en danger la vie privée et la sécurité des enfants en raison de la grande quantité d'informations personnelles qui peuvent être divulguées sans le vouloir.

Donc, à moins que vous n'ayez un réel besoin (autre que "c'est cool ") pour ces types de produits, je dirais que votre meilleure approche consiste simplement à vous en éloigner.

Cela dépend vraiment de votre modèle de menace. Je ne serais pas particulièrement inquiet qu'un prédateur sexuel particulier de votre région ait les compétences techniques nécessaires pour utiliser Krack pour injecter de la voix dans le jouet. À moins qu'il n'utilise le pilote Linux vulnérable, l'effacement des clés ne fonctionnera pas et la nature partielle du compromis pour une réinitialisation générale rendrait l'injection vocale presque impossible.

De même, en tant que périphérique client, il n'offre pas beaucoup de risques de sécurité autres que éventuellement en tant que périphérique d'écoute, selon qu'il est toujours allumé ou activé en appuyant sur un bouton. Krack ne le rendrait pas utilisable directement comme point d'entrée dans votre réseau, donc je ne le vois pas comme un appareil particulièrement risqué que tout autre appareil IOT.

Comme toujours en matière de sécurité, cela tombe en panne à votre aversion pour le risque. Personnellement, si je pensais que cela serait utile pour mon enfant (qui a également 3 ans), je ne pense pas que je considérerais les implications de sécurité locale comme une raison de ne pas l'obtenir pour mon environnement familial. Je serais plus préoccupé par les contrôles et la sécurité du côté Web.

Ma principale préoccupation pour les appareils IOT n'est pas tant le compromis local que le compromis distant connecté au Web. Les chances qu'un individu malveillant suffisamment qualifié et motivé se trouve à proximité directe sont assez faibles. Les chances d'un utilisateur motivé et malveillant sur Internet d'essayer d'accéder à distance à l'appareil IOT sont nettement plus élevées et il est important de comprendre les trous que les appareils perforent dans les protections de votre réseau.

De plus, comme Michael l'a bien voulu pour le souligner, les intérêts d'un tel pirate informatique sont beaucoup moins susceptibles d'être concernés par votre vie privée et beaucoup plus susceptibles d'être intéressés par des attaques sur vos autres ordinateurs ou par les capacités de calcul de l'appareil en tant que bot d'attaque.

Bienvenue sur l'Internet des objets (IoT). C'est une ... chose. Par conséquent, il peut être assimilé

Mirai est un type de logiciel malveillant qui détecte automatiquement les appareils de l'Internet des objets à infecter et les conscrit dans un botnet - un groupe d'appareils informatiques qui peuvent être contrôlés de manière centralisée.

Et

L'une des raisons pour lesquelles Mirai est si difficile à contenir est qu'il se cache sur les appareils et n'affecte généralement pas leur performance. Il n'y a aucune raison pour que l'utilisateur moyen pense que sa webcam - ou plus probablement celle d'une petite entreprise - fait potentiellement partie d'un botnet actif. Et même si c'était le cas, ils ne pourraient pas faire grand-chose à ce sujet, n'ayant aucun moyen direct de s'interfacer avec le produit infecté.

Le problème est que la sécurité est rarement une considération lors de la fabrication de jouets comme ce. La technologie pour faire fonctionner tout cela est assez simple, mais les entreprises ne sont pas payées pour y penser. C'est un jouet d'enfant. C'est censé être bon marché et facile. Et vous en avez pour votre argent.

Plus tôt cette année, on a découvert que un jouet similaire pour enfant n'avait aucune sécurité (c'est moi qui souligne)

Un fabricant de jouets pour animaux en peluche connectés à Internet a exposé plus de 2 millions d'enregistrements vocaux d'enfants et de parents, ainsi que des adresses e-mail et des mots de passe pour plus de 800 000 comptes.

Les données du compte ont été laissées dans une base de données accessible au public qui n'était pas protégée par un mot de passe ou placée derrière un pare-feu , selon un article de blog publié lundi par Troy Hunt, mainteneur de la violation Have I Been Pwned?, -le site Web de notification. Il a déclaré que les recherches effectuées à l'aide du moteur de recherche informatique Shodan et d'autres preuves ont indiqué que, depuis le 25 décembre et le 8 janvier, les données des clients ont été consultées plusieurs fois par plusieurs parties, y compris des criminels qui ont finalement détenu les données contre rançon. Les enregistrements étaient disponibles sur un service hébergé par Amazon qui ne nécessitait aucune autorisation d'accès.

Je vais être honnête. Ces choses sont effrayantes et puissantes dans ce qu'elles peuvent faire. Même s'il n'expose pas votre messagerie, il pourrait toujours être utilisé pour quelque chose de malveillant comme une attaque DDOS. Si j'étais vous, je transmettrais quelque chose comme ça à moins qu'il y ait quelque chose de explicite sur la sécurité.

C'est à peu près le même genre de jouet que CloudPets. C'étaient des jouets qui permettaient de parler avec les enfants (jouet) en utilisant une application mobile. La sécurité était terrible. Il s'est avéré que les détails de l'utilisateur et les enregistrements des animaux de compagnie étaient disponibles sur des bases de données sans mot de passe. Et la société n'a même pas répondu aux e-mails les alertant des vulnérabilités.

Vous pouvez consulter cette histoire terrifiante sur le blog de Troy Hunt: https://www.troyhunt.com/data -from-connected-cloudpets-teddy-bear-leaked-and-ransomed-exposing-kids-voice-messages /

Maintenant, les Talkies ont peut-être fait les bons choix (il est difficile de faire tellement de choses mal que CloudPets l'a fait!), mais cela montre le niveau de sécurité de ce secteur.

Donc non, je ne ferais pas confiance à ce jouet avec les données de mes enfants. Sans parler de la manière dont le jouet lui-même pourrait être compromis (par exemple, Bonjour Barbie).

En fait, l'Allemagne est allée jusqu'à interdire les poupées Cayla connectées à Internet par crainte qu'elles pourraient être exploités pour cibler des enfants: https://www.telegraph.co.uk/news/2017/02/17/germany-bans-internet-connected-dolls-fears-hackers-could-target/

tout compatible Internet présente un risque. En règle générale, la sécurité est une dépense et les consommateurs dans leur ensemble ne tiennent vraiment pas compte de la sécurité des produits lorsqu'ils prennent des décisions d'achat. Par exemple, il y avait un fil sur Reddit récemment sur un couple qui a divorcé et elle n'a pas changé le mot de passe sur le thermostat Nest. Ainsi, pendant qu'elle était absente, il augmentait la climatisation ou le chauffage et causait d'énormes factures de services publics. Nous connaissons également des babyphones qui ont été utilisés pour écouter les voisins sans leur consentement. J'ai assisté à des démonstrations de sécurité informatique d'interrupteurs d'éclairage connectés à Internet, montrant à quel point il était facile de les attaquer.

krack est certainement important, mais comparé à une posture de sécurité inexistante, ce n'est pas pertinent. Tout simplement, si quelqu'un est préoccupé par la sécurité, je suggérerais de ne rien acheter en réseau à moins qu'il ne puisse identifier le besoin d'avoir une connexion réseau et qu'il ait les compétences nécessaires pour le sécuriser correctement ainsi que son réseau.

WRT votre cercle de téléphones de confiance: à quelle fréquence prévoyez-vous de gérer cette liste? Quels sont les moyens de rejoindre ce cercle de confiance? Savez-vous quand vos amis revendent leurs téléphones pour que vous puissiez les désactiver de votre cercle? (Si votre réponse n'est pas «non» à la dernière, vous n'êtes probablement pas réaliste avec vous-même.)

Encouragez la créativité. Développez vos compétences. Offrez à l'enfant un tas de blocs de construction ou un train. Obtenez un spirographe. Jouez aux cartes / jeux avec eux. Trouvez quelque chose avec lequel ils joueront pendant des heures qui ne nécessitent pas votre attention constante.

Cela met le "IOT" dans "IDIOT!".

La plupart des entreprises qui les fabriquent n'ont aucune idée de la façon d'empêcher les pirates de les prendre en charge, programmant parfois des exploits comiquement stupides / évidents. .

L'exploit KRACK pourrait être inutile la moitié du temps, car la plupart de ces fabricants ne sauraient pas comment implémenter une forme de cryptage.

Tout type d'enregistrement vocal compatible Internet est une invasion potentiellement effrayante et carrément dangereuse de la vie privée. Ces appareils utilisent probablement le cloud pour le traitement et le stockage du son, étant donné qu'ils sont presque certainement basés sur des puces ARM de faible qualité et un stockage flash bon marché minimal tout au plus.

Même si l'appareil est correctement conçu, il n'y a pas de garantie similaire sur l'application cloud qu'il utilise. Vous seriez surpris de voir à quelle fréquence les chercheurs tombent sur des données restantes précieuses dans le cloud que l'utilisateur précédent d'une instance de machine logique n'a pas réussi à nettoyer.