Федеральное сетевое агентство Германии (Bundesnetzagentur, BNetzA) официально запретило игрушки My Friend Cayla, производства американской компании Genesis Toys. Фактически регулятор признал их незаконными устройствами для наблюдения.
«Вещи, которые оснащаются камерами и микрофонами, а также способны передавать сигнал, в том числе незаметно, компрометируют личную жизнь людей. Это, в числе прочего, относится и к детским игрушкам. Куклы Cayla были запрещены в Германии. Это делается для защиты самый уязвимых членов нашего общества», — пишет глава Bundesnetzagentur в официальном заявлении.
Проблема в том, что интерактивные игрушки My Friend Cayla записывают разговоры детей и переправляют полученное аудио на серверы производителя. Согласно описанию на официальном сайте, куклы созданы, чтобы общаться с ребенком и отвечать на детские вопросы. Cayla записывает вопрос ребнка и пересылает его приложению, установленному на смартфоне родителей, преобразуя речь в текст, а затем ищет ответ на вопрос в свое базе или в онлайне. В итоге ответ вновь возвращается кукле, которая озвучивает его ребенку. При этом в тексте соглашения, которое так же опубликовано на сайте производителя, действительно написано, что записи используются для «улучшения качества сервиса», а также вендор оставляет за собой право делиться записями с третьими сторонами, к примеру, рекламными агентствами.
В итоге представители Федерального сетевого агентства Германии призвали родителей немедленно изъять у детей опасный кукол, отключить их или даже уничтожить.
При этом ранее, в конце 2016 года, кукол Cayla уже изучали ИБ-эксперты, которым тоже совсем не понравилось увиденное. Оказалось, что данные, циркулирующие между игрушкой и приложением, плохо защищены, то есть атакующий может перехватить сделанные аудиозаписи и даже подменить их, заставив куклу «произнести» что-то произвольное. Все это не укрылось от внимания норвежского Совета потребителей (Forbrukerrådet Norge), представители организации даже выложили на YouTube видео, в котором они рассказывают о проблемах и небезопасности Cayla, чтобы предостеречь родителей. Видео можно увидеть ниже.
Решение регулятора Bundesnetzagentur поддержала Европейская организация по защите прав потребителей (BEUC), заявив, что «сетевые игрушки, например, говорящие куклы, которые могут быть взломаны, чтобы следить за детьми или говорить с ними, должны быть запрещены». При этом в BEUC признали, что потребителям будет сложно получить компенсацию, что не слишком хорошо.
Стоит сказать, что современные игрушки регулярно становятся объектами для изучения, а потом и для критики. Производители стараются идти в ногу с прогрессом, к примеру, в конце прошлой недели компания Mattel представила новую, голографическую (!) куклу Hello Barbie Hologram, которая позиционируется как персональный ассистент. Производители игрушек определенно стараются, но, к сожалению, безопасность у них явно не в приоритете.
К примеру, можно вспомнить случай в конце 2015 года, когда исследователь Мэтью Якубовски (Matthew Jakubowski) признал опасной и плохо защищенной интерактивную куклу Hello Barbie, которая работает почти так же, как Cayla. Можно вспомнить и эксперимент исследователей Pen Test Partners, которые обнаружили сразу несколько багов в прошивке нашумевшей игрушки BB-8, копирующей милого робота из «Звездных Войн». Специалисты Rapid7, в свою очередь, исследовали игрушки Fisher-Price Smart Toy и детские часы-трекер на платформе hereO GPS, и тоже обнаружили множество проблем. Увы, этот список можно продолжать еще долго.
Источник: «Хакер»
