Nyt hacker-legetøj: Eksperter finder bagdør i intelligent Fisher Price-bamse

4. februar 2016 kl. 12:3116
Nyt hacker-legetøj: Eksperter finder bagdør i intelligent Fisher Price-bamse
Illustration: Fisher Price.
Sårbarhed i intelligent bamse har givet adgang til oplysninger om børn.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Sikkerhedseksperter har fundet en svaghed i en bamse fra Fisher Price, der giver potentielle hackere adgang til oplysninger om barnets navn, alder og køn.

Sikkerhedsselskabet Rapid7 har i app’en, som tilknyttes bamsen, fundet en række sikkerhedshuller, som giver hackere mulighed for at opsnappe de oplysninger om barnet, som FIsher Price anbefaler, at forældrene indtaster. Fisher Price har ifølge The Guardiannu lukket hullerne og kan ikke se tegn på, at de er blevet misbrugt.

I samme ombæring har Rapid7 på sin hjemmeside afsløret sårbarheder i gps-uret Hero0, som giver hackere mulighed for at få information om blandt andet barnets placering.

Begge produkter er rettet mod børn ned til tre år.

Artiklen fortsætter efter annoncen

»Jeg kan ikke understrege kraftigt nok, hvor kritisk denne tid er for producenter af internetopkoblet legetøj til at tænke på sikkerhed i udviklingsfasen,« siger Rapid7-chef Mark Stanislav til Telegraph.

Ifølge eksperterne er fejlene så grundlæggende, at man formentlig aldrig havde set dem hos selskaber som Microsoft og Google.

Det er ikke kun vat og plastik, der fylder op i moderne intelligent legetøj. I stedet er Barbie-dukker, baby-legetøj og bamser udstyret med computerchips - og hvad der hører til af sikkerhedsproblemer.

Et hackerangreb mod legetøjsproducenten Vtech i november sidste år kompromitterede brugerprofiler på 4.504 danske forældre og 5.547 danske børn. På verdensplan blev over 10 millioner brugerprofiler ramt af hackerangrebet.

I december fandt sikkerhedsfirmaet Bluebox en række kritiske sårbarheder i Mattels internetforbundne Barbie-dukke.

Og de intelligente stykker legetøj bliver kun mere almindelige, viser en analyse fra Juniper Research.

16 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
16
6. februar 2016 kl. 16:31

Er den slags bagdøre opstået ved udygtighed, eller sidder der nogle skumle personer og bevidst installerer sådanne? I Samsung-sagen var det, så vidt jeg husker, en feature, ikke en bug. Men i en bamse?

Det er primært opstået fordi man ser en masse muligheder men kan/vil ikke se de problemer der opstår, typisk svar når man påpeger problemerne i udviklingsfasen er "men det sker jo ikke" eller "hvem gider spilde sin tid på det" (begge er i øvrigt blevet brugt i forbindelse med NemID).

15
5. februar 2016 kl. 17:42

Hej Rene Kan du allerede her afsløre hvad der sker, hvis man bruger Telegram eller Signal? /Claus

14
5. februar 2016 kl. 07:44

René:

Tak for svaret.

Skriv derpå i denne tråd hvad du oplevede og tænk over svaret næste gang du skal placer "en sølvpapirhat" på mig eller Søren Pind :-)

Det kunne aldrig falde mig ind at prøve på :-)

Mht. dit forslag så tror jeg, det bliver svært at gennemføre på min gamle Nokia 2760 - den absolut billigste og mest primitive, jeg kunne opstøve - men den virker (det meste af tiden) - og kræver ikke flere hjerneceller, end jeg har ressourcer til at allokere til den (derved kan den falde ind under "intelligent design")!

Men måske sker der med din "test" noget af det samme, som der i perioder sker, når jeg taler i den - pludseligt "fader" den ud, går i sort (som i helt død), er væk i en del sekunder, hvorefter den pludseligt er "på igen". Det skyldes hverken lavt batteri eller manglende forbindelse (tror jeg).

Meget mystisk - så er det, jeg begynder at spekulere på, om jeg har overskredet cut-off-score for samfundsnedbrydende kommentarer, og derfor har kvalificeret mig til at komme på en elle anden liste....

I øvrigt er her en kandidat til "Dagens dårlige nyhed" - Pind er umættelig: http://www.information.dk/560587

13
4. februar 2016 kl. 23:36

Kameraer og processor power er efterhånden så billigt at det sammen med mikrofoner fremover bliver universalsensoren i diverse elektroniske dimser vi omgiver os med. I dag er robotstøvsugere f.eks. udstyret med IR, ultralyd, mekaniske kontaker osv for at navigere rundt. Det vil kunne erstattes af en håndfuld kameraer og en DSP - prisen skal bare ned. Når så alting død og pine skal op Internettet, har vi opskriften på livslang videoovervågning. Der kommer flere kameraer - og man kan ikke se på dem om det kun er DSP'en eller der også er andre der er med på en kigger.

12
4. februar 2016 kl. 22:42

Er den slags bagdøre opstået ved udygtighed, eller sidder der nogle skumle personer og bevidst installerer sådanne?

I sagens natur kan man ikke besvare det spørgsmål objektivt. Min erfaring fra IT siger mig at det er "Århusiansk minesøgning" som tester for fejl - langt de fleste steder.

Man har muligvis testsoftware til at udføre automatiserede tests men det først er når man træder at man "opdager minen" aka fejlen. Lad os i mangel på et bedre udtryk kalde det udygtighed.

Men der er mange veldokumenterede eksempler på at bevidst pennetration af f.eks. game communities som f.eks. Steam hvor efterretningstjenester har svækket styresystemer - check denne tråd ud http://steamcommunity.com/groups/SteamClientBeta/discussions/1/864971765410710123/ eller denne her http://www.wired.com/2015/12/juniper-networks-hidden-backdoors-show-the-risk-of-government-backdoors/

Næste gang du er i udlandet så prøv at ringe hjem til en bekendt fra mobiltelefonen. Først et normalt opkald - du ved med et 8 ciffer telefonnummer med +45 foran. Så prøv igen via Apps'ne Telegram eller Signal med præcis samme hardware.

Skriv derpå i denne tråd hvad du oplevede og tænk over svaret næste gang du skal placer "en sølvpapirhat" på mig eller Søren Pind :-)

11
4. februar 2016 kl. 17:50
10
4. februar 2016 kl. 16:05

"Monitor from afar Stay up to date on what your child is up to and how he or she is progressing with the Smart Toy app, available for your smartphone (not included). The app enables parents to send commands to the Cloud-connected Smart Bear for an interactive role in their child's playtime." Scary monster - Not a Teddy bear ...

7
4. februar 2016 kl. 15:22

Det er godt nok foruroligende, René. Er heldigvis ikke den ulykkelige ejer af et Samsung-fjernsyn (eller en Fisher Price-bamse), men jeg rammes alligevel af uhygge.

Er den slags bagdøre opstået ved udygtighed, eller sidder der nogle skumle personer og bevidst installerer sådanne? I Samsung-sagen var det, så vidt jeg husker, en feature, ikke en bug. Men i en bamse?

6
4. februar 2016 kl. 15:17

At kameraet har ansigtsgenkendelse, betyder ikke, at det sender noget nogen steder hen

Det kan godt lade sig gøre at genkendelsen sker "inde i bamsen", men stort set alt lyd og billedgenkendelse sker "på nettet" hvor kraftige servere laver regnearbejdet.

Og det gælder alt fra iphones Siri funktion til Samsungs fjernsyn.

Skræmmende ikke også - Jeg blev sur da jeg opdagede at man ikke via hardware kunne slå mikrofon og kamera fra på mit nye 54" Samsungfjernsyn! Selvom du slog det fra via softwaren sendte fjernsynet stadig data til serveren - spooky ikke også :-(

Mine børn synes jeg var lidt tosset da jeg tildækkede kameraet og mikrofonen med tynd sort klæbende gummi som matchede farven så man ikke ser det, men jeg bryder mig ikke om en Orwelsk teleskærm som udstiller mit privatliv eller vor ejendele.

4
4. februar 2016 kl. 14:37

Det er ikke fordi barnets ansigt har nogen særlig værdi – men de billeder/videoer vil ofte være taget i forældrenes soveværelse og lidt forældre sengegymnastik eller måske bare minimalt påklædte forældre kunne hurtigt havne som et live-stream på nettet.

Da ikke kun det, men da sandelig også som et menukort for indbrudstyve - tænk hvis de stille og roligt kan sidde bag skærmen og checke op hvor de kan skaffe hvad fra bestillingslisten.

At det så allerede nu også kan gøres via boligportaler og sociale medier betyder jo ikke at man nødvendigvis skal gøre ulykken endnu værre.

3
4. februar 2016 kl. 14:05

Ja, René - det var noget i den stil, der bekymrede mig. Jeg havde håbet på et beroligende svar i stil med: "At kameraet har ansigtsgenkendelse, betyder ikke, at det sender noget nogen steder hen. Det bruger det kun til at beslutte, hvem Bamse skal hilse begejstret på (dv.s lille Bimse)."

Men nej - et sådan beroligende svar fik jeg altså ikke, i hvert fald i første omgang :-(

Problemet er vel, at hvis der er en bagdør, kan man så være sikker på, at det ikke sender nogen nogen steder hen, uanset hvad tanken har været fra starten?

PS: Der er vist noget, der hedder Bamsepartiet - ganske vist i Skåne, men i disse Pind-tider kan man da godt blive bekymret. Der er da ikke så langt til Skåne :-))

2
4. februar 2016 kl. 13:58

Hvor sender dette kamera så billederne hen? Skal man nu til at føle sig beluret, hvis man er i selskab med en Fisher Price-Bamse?

Jeg tror at billeder og lyde fra sådan et kamera har “høj værdi” for internet kriminelle! Det er ikke en lille detalje det her.

Det er ikke fordi barnets ansigt har nogen særlig værdi – men de billeder/videoer vil ofte være taget i forældrenes soveværelse og lidt forældre sengegymnastik eller måske bare minimalt påklædte forældre kunne hurtigt havne som et live-stream på nettet.

Jeg ved godt det er en syg tanke, men tænkt på alle dem som har fået hacket deres web-cam og som er udødeliggjort på nettet, hvad skulle afholde de mennesker fra at gøre det samme her?

1
4. februar 2016 kl. 12:57

"blandt andet udstyret med kamera til ansigtsgenkendelse"

Hvor sender dette kamera så billederne hen? Skal man nu til at føle sig beluret, hvis man er i selskab med en Fisher Price-Bamse?