Tagarchief: speelgoed

FBI waarschuwt voor slim speelgoed

Geef een reactie

Een pratende Barbie of een knuffelbeer die stemmen herkent: de FBI waarschuwt ervoor in een public service announcement?(PSA). ‘Slim’ speelgoed dat verbonden is met internet of smartphones, kan namelijk grote privacy- en veiligheidsrisico’s met zich meebrengen.

Dat er mogelijke?gevaren kleven aan digitaal speelgoed?is al eerder aan het licht gekomen. In Duitsland is bijvoorbeeld de pop Cayla (van Genesis Toys) verboden vanwege het gevaar van een hack. Ook zijn miljoenen gesprekken tussen kinderen (onder wie Nederlandse) en?CloudPet-knuffels?uitgelekt. Nu geeft ook de Amerikaanse FBI een offici?le waarschuwing uit.

In?een artikel van de Amerikaanse inlichtingendienst?is te lezen dat ‘slim’?speelgoed microfoons, camera’s, GPS, data-opslag en spraakherkenning kan bevatten waarmee persoonlijke gegevens gelekt kunnen worden. Speelgoed dat met internet of Bluetooth verbonden is, blijkt gemakkelijk te ‘hacken’.

Om als pratende pop of knuffelbeer die de lievelingskleur en verjaardag van de eigenaar kent, ‘slim’ te kunnen zijn, maakt het speelgoed contact met een server waarin alles wat het kind zegt, wordt opgeslagen en geanalyseerd. Dat brengt nieuwe vragen over veiligheid en privacy met zich mee. Vragen die lang niet altijd worden gesteld, bleek na onderzoek van de Noorse Consumentenbond Forbrukerr?det. De verbinding die de pratende pop ‘My Friend Cayla’ maakt met de bijbehorende app, blijkt onbeveiligd. Daardoor is het kind eenvoudig af te luisteren – en niet alleen door de ouders, maar door iedereen die in de buurt is. Alles wat de microfoon in de pop opneemt, wordt bovendien opgeslagen op een server van het bedrijf ‘Nuance Communications’, en kan worden doorverkocht aan ‘derden’, ook voor gerichte reclames. Sowieso is Cayla niet vies van commercie: ze heeft een aantal voorgeprogrammeerde reclamezinnen klaarstaan.

Afluisterapparaat

Het is niet de eerste keer dat slim speelgoed vanwege een gebrek aan beveiliging in het verdomhoekje zit. Eind vorig jaar toonden onderzoekers ook al aan dat de slimme variant van Barbie, die vierduizend zinnen kent en daarmee een gesprek kan voeren, te kraken is. Zo wordt de onschuldig ogende pop opeens een afluisterapparaat.

Het verbaast Mary-Jo de Leeuw niets. Zij is betrokken bij het ‘Platform Internet of Toys’ en onderzocht drie jaar geleden verschillende varianten van slim speelgoed, waaronder Cayla. Overal had het platform wel iets aan te merken op de beveiliging of de privacyvoorwaarden. Maar niemand wilde naar de conclusies luisteren, zegt De Leeuw. Vaak werd ze weggewuifd met de woorden: wie ligt daar nou wakker van?

Blokker Holding controleert de privacyvoorwaarde van het speelgoed in hun schappen niet zelf, zegt de woordvoerder. Het bedrijf wijst daarvoor naar de fabrikant. Een herkenbare reactie, zegt De Leeuw: iedereen wijst voor verantwoordelijkheid naar elkaar.

Daarom is er volgens haar op z’n minst een Europese standaard nodig om de mate van beveiliging of de omgang met privacy van de kinderen te regelen. “Wij staan bij het Platform Internet of Toys in de startblokken om dat te ontwikkelen. De expertise hebben we, maar de middelen en de mankracht niet. Dat zou vanuit de overheid en de fabrikanten moeten komen.” Ondertussen blijft veel van het slimme speelgoed gewoon te koop in de winkels. Door het Amerikaanse onderzoeksbureau Juniper werd de wereldwijde markt eerder op zo’n 2,6 miljard euro geschat.

Giftige verf

Ouders moeten dus goed opletten wat ze kopen, zegt Mary Berkhout van Mediawijzer.net, een organisatie die zich bezighoudt met kinderen en de omgang met media. Maar het gaat volgens haar te ver om van ouders te verwachten dat ze helemaal zicht hebben op wat zo’n slimme pop doet. “Ik vergelijk het bijvoorbeeld met giftige verf op speelgoed. Ouders mogen van de speelgoedindustrie aannemen dat zij dat niet mogen gebruiken.”

Mediawijzer.net, die zich naast de privacy ook zorgen maakt over de pedagogische kant van speelgoed dat terugpraat terwijl je daar als ouders weinig invloed op hebt, stelde een lijst met praktische tips op.

Daarin raden zij ouders bijvoorbeeld aan om het slimme speelgoed altijd uit te zetten als het kind er niet mee speelt. Ook zouden ouders direct na de aanschaf het eventuele standaard wachtwoord en gebruikersnaam moeten aanpassen.

Gevoelige informatie

Een simpele conversatie?met of rondom speelgoed bevat al snel gevoelige informatie over het kind, bijvoorbeeld de naam, de school en de activiteiten van het kind. Er worden steeds meer apparaten en speelgoed geproduceerd waarbij deze informatie gebruikt wordt om de interactie en advertenties erop aan te passen. En ook individuele hackers kunnen door de slechte beveiliging vervolgens bij de data. Het Duitse ministerie van economie en technologie adviseerde ouders om ‘Cayla’ te vernietigen, de FBI raadt aan om ten minste na gebruik van het speelgoed de batterijen eruit te halen. De FBI waarschuwt dat aangesloten speelgoed met microfoons, GPS-tracking, Wi-Fi en / of Bluetooth-connectiviteit criminelen toegang geeft tot priv?-informatie over kinderen en hun families. Dit kan leiden tot identiteitsdiefstal of erger.

Internet of Toys

‘My Friend Cayla’ is niet het enige slimme speelgoed dat te koop is. Een aantal andere voorbeelden:

Hello Barbie kan gesprekken voeren door de vierduizend zinnen die ze kent. De microfoon zit in haar ketting.

De teddybeer Nino of Nina?- afhankelijk van de kleur blauw of roze – kan liedjes zingen en verhalen vertellen. Je kunt dat personalisseren met bijvoorbeeld de naam van het kind en diens verjaardag of lievelingskleur.

De felgekleurde knuffel Furby die in de jaren negentig populair was, heeft een ‘slimme’ opvolger: Ubooly. Je kunt hem openritsen en je smartphone erin stoppen. Het kind kan er dan allerlei spelletjes mee spelen en bijvoorbeeld samen de kamer ontdekken. Ubooly gebruikt dan teksten als: “Gauw, verstop je. Ik hoor een volwassene aankomen”.

 

Bronnen: IC3, Trouw, The Next Web, Trouw

Safe Smart Toys

Geef een reactie

smart-toys

Geweldig, een pop die kinderen antwoorden geeft op hun vragen. Maar die pop is verbonden met internet, en dat kan gevaarlijk zijn. ?Speelgoedfabrikanten hebben weinig kaas gegeten van IT.?
Lieve grote poppenogen, blond haar en een roze balletrokje. Speelgoedpop ?My Friend Cayla? heeft op het eerste gezicht weinig kwaads in de zin. Ze moet een ?beste vriendin? zijn voor kinderen en praten over hobby?s, huisdieren en haar favoriete eten. Als je haar aansluit op internet kan ze ook moeilijkere vragen beantwoorden over zaken als aardrijkskunde. Maar in een video gepubliceerd door de Britse beveiligingsexpert Ken Munro zegt Cayla ineens ?Merry bloody Christmas? in de camera ? met dezelfde stralende glimlach als altijd.

Wat is er aan de hand? Cayla is te hacken; wie de expertise heeft kan via bluetooth de pop van alles laten zeggen tegen een kind. Zo wordt de privacy geschaad van kinderen, de meest kwetsbare groep gebruikers.

Vorige maand werd bekend dat Blokker Holding ? eigenaar van speelgoedwinkels Intertoys en Bart Smit ? Cayla voorlopig uit de collectie haalt. Europese consumentenorganisaties hadden aan de bel getrokken nadat uit onderzoek van de Noorse consumentenbond bleek dat hackers kinderen via het speelgoed kunnen afluisteren. Bovendien wordt alles wat kinderen tegen Cayla zeggen, doorgestuurd naar een Amerikaans bedrijf gespecialiseerd in spraakherkenning. Waarschijnlijk voor betere gesprekken tussen kinderen en de pop, zonder dat de meeste ouders op de hoogte zijn.

Connected speelgoed
Twee jaar geleden ontdekte Ken Munro al dat je simpel kan ?inbreken? bij Cayla. Ondanks aandacht van Britse media bleef de pop op de markt. Een woordvoerder van Blokker zegt dat het concern niet op de hoogte was: het zou pas van de gebreken weten sinds de waarschuwing van consumentenbonden vorige maand.
Cayla is ?connected? speelgoed, in dat genre is er steeds meer te kiezen voor ouders. Het Britse bureau Juniper Research schat dat de jaarlijkse omzet in met internet verbonden speelgoed stijgt van

2,7 miljard euro in 2015 naar 10,7 miljard in 2020.
Zo is er de knuffel Talki. Ouders en vrienden kunnen op afstand met hun smartphone berichten sturen naar Talki; die spreekt de boodschap daarna uit aan het kind. Fabrikant Fisher Price heeft een slimme beer die ?onthoudt? wat je kind zegt voor betere gesprekken. Slimme kinderhorloges laten met gps zien waar kinderen uithangen.
Ook zijn er ?beeldbabyfoons?, waarmee ouders op afstand kunnen praten tegen baby?s. De apparaten bevatten ook een repertoire aan slaapliedjes en tot vier op afstand bestuurbare camera?s voor in de kinderkamer. De beelden kunnen ouders op de smartphone bekijken.

Wifi is probleem
Waar klassieke babyfoons werken met een lokaal radionetwerk, geven deze babyfoons de informatie door via wifi. Met huis-tuin-en-keuken-apparaten die met internet worden verbonden, loop je een risico, zegt hoogleraar computerveiligheid Michel van Eeten (TU Delft). Dat soort spullen worden volgens hem steeds vaker bestookt door hackers.
Je moet er bij Cayla niet aan denken dat een pedofiel aan digitaal kinderlokken gaat doen met zo?n pop, zegt expert Munro. ?Of dat dieven meeluisteren of het stil wordt in huis, om toe te slaan als iedereen naar bed is.?

Fabrikanten van goedkopere apparaten hebben volgens hoogleraar Van Eeten ?te weinig prikkels? om de beveiliging op orde te krijgen en houden. Met updates zouden ze bijvoorbeeld programmeerfouten in de software kunnen herstellen zodat hackers niet via een ?achterdeurtje? kunnen binnentreden, maar dat gebeurt te weinig. ?Fabrikanten zien het als weggegooid geld?, zegt Van Eeten. ?Het product is verkocht, het geld is binnen. Vaak hebben fabrikanten ook weinig kaas gegeten van IT.?
In 2015 werd de Chinese fabrikant Vtech ? dat computers en tablets voor kinderen maakt ? gehackt. Een hacker kon bij gegevens van miljoenen kinderen en ouders, net als de voor de accounts gemaakte profielfoto?s van kinderen. De Amerikaanse site Vice, die als eerste over het lek publiceerde, schreef dat de hacker aandacht wilde vragen voor de slechte beveiliging bij het bedrijf.

Criminele activiteiten
Volgens Van Eeten is de kans dat het een hacker specifiek om kinderen te doen is, nog klein. Gehackte apparaten worden volgens hem vooral voor criminele activiteiten gebruikt. Bijvoorbeeld DDOS-aanvallen: er wordt zoveel internetverkeer naar een server of site gestuurd dat deze vastloopt. Daarvoor wordt een netwerk van duizenden ? soms honderdduizenden ? gehackte laptops en andere slimme apparaten gebruikt. Sites als Twitter, Spotify, Netflix en Airbnb werden in oktober bij ??n grote aanval deels platgelegd. In totaal werden vorig jaar bijna achtduizend DDOS-aanvallen geregistreerd door het Europese onderzoeksbureau Security Operations Center.
Maar er zijn wel degelijk voorbeelden van hackers die w?l kwaad willen met individuen. Sommige criminelen zijn ge?nteresseerd in persoonsgegevens van kinderen, om ze te gebruiken voor identiteitsfraude. En enkele jaren geleden werd een destijds achttienjarige Rotterdammer veroordeeld voor het op afstand inbreken bij minimaal tweeduizend computers. Hij zette onder meer webcams van tienermeisjes aan om ze te bespieden.

Mede door de DDOS-aanvallen willen steeds meer beleidsmakers fabrikanten verplichten de beveiliging te verbeteren van ?slimme? producten als speelgoed. Zowel de Europese Commissie als het Nederlandse ministerie van Economische zaken doen daar nu onderzoek naar. D66 wil een keurmerk voor de beveiliging van slimme apparaten.
Als het in de huidige situatie misloopt, staan consumenten niet sterk in de rechtszaal, zegt hoogleraar Van Eeten. ?De fabrikant is alleen aansprakelijk als er grote fysieke of economische schade is. Als video?s van een kinderkamer op internet verschijnen, kun je heel moeilijk bij een rechter aantonen dat je fysiek leed hebt.?

Veiliger e-speelgoed
Wat kunnen ouders doen om hun kinderen veilig te laten spelen met connected speelgoed ? als ze dan per se hun poppen willen koppelen aan het net? In november publiceerde een expertgroep een checklist voor ouders. Een belangrijke tip: verschaf alleen persoonsgegevens die strikt noodzakelijk zijn , of verzin persoonsgegevens voor een speelaccount. Een ander advies: zet speelgoed helemaal uit als het kind klaar is met spelen.

Pas ook het standaardwachtwoord van bijvoorbeeld beveiligingscamera?s in de kinderkamer aan ., ?Dat is het allertreurigste?, zegt de Delftse hoogleraar Van Eeten. ?Gewone consumenten moeten zich eerst afvragen hoe ze het wachtwoord kunnen aanpassen van hun babycam of hoe ze de router moeten aanpassen, in plaats van dat de fabrikant dat goed regelt.?
Standaardwachtwoorden van fabrikanten zijn vaak op internet te vinden en een hacker is dan zo binnen. Via internet zijn duizenden livebeelden te zien van kantoren, huiskamers en kinderkamers van nietsvermoedende mensen.

Let ook goed op de reputatie van de speelgoedfabrikant en pas op voor goedkope troep, bijvoorbeeld uit Azi?. De Britse beveiligingsexpert Ken Munro zegt: ?Er zijn gelukkig hele vooruitstrevende speelgoedfabrikanten die de beveiliging goed op orde hebben, maar zij zijn in de minderheid. Voordat de rest van de fabrikanten overstag gaat, is echt strengere wetgeving nodig.?

Bronnen: NRC Next, NOS