Computer >> คอมพิวเตอร์ >  >> ระบบเครือข่าย >> ความปลอดภัยของเครือข่าย

กรณีใหม่ของแฮกเกอร์ที่กำหนดเป้าหมายไปยังของเล่นที่เชื่อมต่อกัน พิสูจน์ว่าพวกเขายังไม่ปลอดภัย

เรื่องนี้กลายเป็นหัวข้อประจำปี:ไม่กี่สัปดาห์หลังคริสต์มาส มีคนค้นพบว่าของเล่นเชื่อมต่อที่ "น่าทึ่ง" จริงๆ แล้วเป็นความเสี่ยงด้านความปลอดภัยและความเป็นส่วนตัวอย่างมหาศาล ด้วยความปลอดภัย และอาจรวมถึงชีวิตของเด็กด้วย อันตราย

และดูเหมือนไม่มีใครกล้ายอมรับความรับผิดชอบ

ลูก ๆ ของคุณใช้ของเล่นออนไลน์ซึ่งเชื่อมต่อกับเครือข่ายไร้สายในบ้านของคุณหรือไม่? หากเป็นเช่นนั้น สิ่งต่อไปนี้อาจเป็นเรื่องสำคัญสำหรับคุณ…

เยอรมนีห้ามพูดคุยตุ๊กตา Cayla

ในเดือนกุมภาพันธ์ 2017 ทางการเยอรมันได้ตัดสินใจห้ามการขายตุ๊กตาพูดได้ชื่อดังที่มีชื่อว่า "Cayla" มีแม้กระทั่งคำแนะนำแก่ผู้ปกครองให้ทำลายของเล่นที่พวกเขามี แม้ว่าจะไม่ได้ตัดสินใจบังคับใช้การกระทำนั้นก็ตาม

การแบนได้รับแรงบันดาลใจจากการสาธิตการพิสูจน์แนวคิดของช่องโหว่ในของเล่น ซึ่งหาได้ทั่วโลก

Cayla เป็นความคิดที่น่ารัก ออนไลน์ผ่านบลูทูธและสมาร์ทโฟนที่เชื่อมต่ออินเทอร์เน็ต ตุ๊กตาตอบคำถามโดยใช้การจดจำเสียงและ Google หน่วยงานเฝ้าระวังด้านโทรคมนาคมของเยอรมนีระบุ การสนทนาระหว่างเด็กกับคนอื่นๆ ในระยะของตุ๊กตาสามารถบันทึกได้… หรือแม้แต่ส่งต่อที่อื่น

“บริษัทสามารถใช้ของเล่นเพื่อกำหนดเป้าหมายเด็กหรือผู้ปกครองด้วยการโฆษณา นอกจากนี้ หากผู้ผลิตไม่รักษาความปลอดภัยลิงก์วิทยุอย่างเหมาะสม บุคคลในบริเวณใกล้เคียงสามารถใช้ของเล่นเพื่อดักฟังการสนทนาได้”

แต่ปัญหาที่แท้จริงที่นี่คืออะไร? แน่นอนว่าของเล่นที่ให้คำตอบเป็นวิธีที่ดีสำหรับเด็ก ๆ ในการเรียนรู้? มันคือการดำเนินการ:โดยทั่วไปแล้วการเชื่อมต่อ Bluetooth ที่ไม่ปลอดภัย กล่าวโดยสรุป เป็นการลดต้นทุน โดยเลือกใช้ทางลัดแทนที่จะทำให้แน่ใจว่าของเล่นที่เปลี่ยนแปลงชีวิตมีความทนทาน

คุณหรือลูก ๆ ของคุณเป็นเจ้าของตุ๊กตา Cayla หรือไม่? เราขอแนะนำการทำลายอุปกรณ์ดังกล่าว แต่ถ้าคุณกังวลเกี่ยวกับความสามารถในการรักษารายละเอียดความเป็นส่วนตัว เราขอแนะนำ… ปิดมัน เพราะเห็นได้ชัดว่า ทุกสิ่งที่บันทึกเสียงพูดและการสนทนามีความเสี่ยง ไม่ใช่แค่กับเด็ก แต่กับทั้งครอบครัว

ฐานข้อมูลแฮ็ครั่วบันทึกของเด็ก

คุณซื้อ CloudPet สำหรับลูกหลานของคุณหรือลูกหลานของเพื่อนในวันคริสต์มาสที่แล้วหรือไม่

นี่คือของเล่นที่เป็นศูนย์กลางของการรั่วไหลของข้อมูลที่น่าสยดสยอง ซึ่งเสียงของเจ้าของ (และเพื่อนและครอบครัว) ได้รับการบันทึก เก็บไว้ในฐานข้อมูลที่ไม่ปลอดภัย และส่งผลให้รั่วไหลทางออนไลน์ตามมา

เพื่อชี้แจงว่า มีการบันทึก 2 ล้านรายการที่ถูกแฮ็ก อ้อ แล้วพวกเขาก็ถูกเรียกค่าไถ่ ทั้งหมดเป็นเพราะบริษัท Spiral Toys ผู้ผลิต CloudPets ลดค่าใช้จ่าย เวลา และความพยายาม และจัดเก็บข้อมูล (เราจะมองข้ามไปว่าพวกเขาควรจะบันทึกไว้ตอนนี้หรือไม่) ในฐานข้อมูล MongoDB

(ปัญหาของ MongoDB คือมันไม่ปลอดภัยตามค่าเริ่มต้น จำเป็นต้องมีขั้นตอนเพิ่มเติมเพื่อรักษาความปลอดภัยข้อมูลที่จัดเก็บในลักษณะนี้)

แต่มันแย่ลง นักวิจัยด้านความปลอดภัย Troy Hunt ได้พยายามติดต่อ CloudPets หลายต่อหลายครั้งเพื่อเน้นย้ำถึงการแฮ็ก รวมถึงการขาดความปลอดภัยภายในตัวของเล่นเอง (อักขระสามตัว รหัสผ่านที่ไม่ได้แฮช ข้อมูลการทดสอบ การแสดงละคร และการผลิต และเว็บไซต์ทั้งหมดถูกจัดเก็บไว้ในเซิร์ฟเวอร์เดียวกัน )

เรื่องราวที่น่าเสียใจทั้งหมดรวมถึงความต้องการ Bitcoin เพื่อส่งคืนข้อมูล บริษัทปฏิเสธที่จะสื่อสารกับคำถามใด ๆ จากนักวิจัยและสื่อมวลชน และผู้ปกครองกลุ่มหนึ่งโดยไม่ทราบว่าของเล่นชิ้นโปรดของลูกของพวกเขาคือความเสี่ยงด้านความปลอดภัยออนไลน์ ในขณะที่เขียน CloudPets และ Spiral Toys ไม่ได้แจ้งปัญหาใดๆ แก่ผู้ปกครอง

ไม่ว่าคุณจะคิดว่าข้อมูลที่ถูกบันทึกและรั่วไหลในภายหลังเป็นปัญหาหรือไม่ บริษัทที่ปฏิเสธที่จะมีส่วนร่วมกับใครในประเด็นเช่นนี้ ไม่ใช่บริษัทที่คุณควรใช้ผลิตภัณฑ์

เราเคยเห็นมาก่อนแล้ว

ปัญหาทั้งหมดนี้คือ น่าเศร้าที่ไม่มีอะไรใหม่ เช่นเดียวกับอุตสาหกรรมบ้านอัจฉริยะที่เพิ่งเริ่มต้น ซึ่งของเล่นเชื่อมต่อกันเป็นส่วนเสริม เป็นที่ยอมรับว่า ผลิตภัณฑ์ถูกรวมเข้าด้วยกันโดยแทบไม่ต้องคำนึงถึงแนวคิด เช่น ความปลอดภัยและความเป็นส่วนตัว

ไม่ แนวคิดเดียวที่น่าสนใจสำหรับนักออกแบบคือกำไร และต้นทุนการผลิตต่ำ

ย้อนกลับไปในปี 2015 เราพบว่าโดรนไร้สายสี่ใบพัดถูกแฮ็กด้วยซอฟต์แวร์ที่ค่อนข้างตรงไปตรงมาได้อย่างไร

ก้าวไปข้างหน้าหนึ่งปี และเห็นได้ชัดว่าไม่เพียงแต่ VTech ยักษ์ใหญ่ด้านอุปกรณ์อิเล็กทรอนิกส์สำหรับเด็กเท่านั้นที่ถูกแฮ็ก (ด้วยการสูญเสียข้อมูลเด็ก 6 ล้านบัญชี) แต่พวกเขายังทำให้ผู้บริโภครับผิดชอบความเป็นส่วนตัวและความปลอดภัยอีกด้วย

ในแต่ละโอกาส เราได้เน้นถึงวิธีการที่คุณสามารถมั่นใจได้ว่าข้อมูลของคุณ -- และของบุตรหลานของคุณ -- จะยังคงปลอดภัย เรายังแนะนำว่าคุณต้องการมากขึ้นจากผู้ผลิตของเล่นอัจฉริยะ พูดง่ายๆ ก็คือ หากของเล่นที่เชื่อมต่อไม่ตรงตามข้อกำหนดด้านความปลอดภัยและความเป็นส่วนตัวขั้นพื้นฐาน (การถ่ายโอนข้อมูลที่ปลอดภัย การป้องกันด้วยรหัสผ่าน) และผู้ผลิตไม่สามารถเสนอการจัดเก็บข้อมูลที่ปลอดภัยใดๆ ที่รวบรวมได้ คุณจะต้องลืมของเล่นชิ้นนั้นเสีย แล้วไปยังขั้นตอนต่อไป .

เริ่มดีขึ้นแล้ว

โชคดีที่สิ่งต่าง ๆ กำลังเปลี่ยนแปลง เช่นเดียวกับในตลาดสมาร์ทโฮมกระแสหลัก ผู้ผลิตต่างตระหนักถึงความจำเป็นในการรักษาความปลอดภัยและความเป็นส่วนตัว และออกอุปกรณ์ใหม่ที่มีประสิทธิภาพยิ่งขึ้น แต่ให้มองหาอุปกรณ์ที่ถูกกว่าซึ่งมีฮาร์ดแวร์และเฟิร์มแวร์รุ่นเก่ากว่า นี่คือจุดที่ปัญหายังคงมีอยู่ในปีต่อๆ ไป เนื่องจากผู้ผลิตพยายามขายสต็อกที่เก่ากว่าและมีความปลอดภัยน้อยกว่าด้วยราคาเพียงเศษเสี้ยวของราคา

คุณมีของเล่นเชื่อมต่อที่กังวลหรือไม่? บางทีคุณอาจรู้สึกว่าไม่มีความเสี่ยง? บอกความคิดเห็นของคุณด้านล่าง