Почему подключенная к Интернету кукла My Friend Cayla была запрещена как «скрытое шпионское устройство»?

Согласно CNET , кукла My Friend Cayla была запрещена в Германии, потому что она классифицируется как незаконное «скрытое шпионское устройство»:

Если вы планируете приобрести подключенную игрушку для своего ребенка, вы можете подумать дважды.

В Германии регуляторы определили, что кукла My Friend Cayla может оказаться бесполезной, учитывая ее потенциал для кражи информации о детях, которые с ней играют. И они говорят, что немецкие родители, чьи дети владеют куклой Cayla, должны уничтожить игрушку.

Федеральное сетевое агентство сообщило в пресс-релизе в пятницу, что оно изъяло куклы Cayla с рынка в Германии и не собирается привлекать к ответственности родителей, которые приобрели их. Однако ожидается, что родители, которые купили куклу, возьмут на себя ответственность за ее уничтожение.

Куклы Cayla, которые содержат микрофоны и задают детям вопросы о себе и своих родителях, классифицируются как «скрытые шпионские устройства», владение и продажа которых запрещены немецким законодательством.

Ранее я немного исследовал игрушку, когда кто-то спрашивал об этой игрушке, и хотя отправка речи ваших детей на облачный сервер кажется немного неуместной, она не совсем скрыта ; устройство рекламируется как «умное» и подключено к Интернету.

Есть ли другие недостатки куклы, которые сделали ее незаконной (возможно, взломом?), Или она была запрещена просто из-за проблем с конфиденциальностью отправки данных производителю?

Насколько я понимаю, есть два особых момента, в которых кукла Кайла отличается от похожих разрешенных игрушек:

• У куклы есть индикатор, показывающий, когда она отправляет, но его можно отключить дистанционно (приложение для смартфона).

• Кроме того, отсутствие безопасности сопряжения по Bluetooth (без нажатия кнопки, без PIN-кода) означает, что третьим лицам довольно легко получить контроль над куклой:

  любой человек в радиусе 15 метров может [...] подключаться к игрушкам, пока они включены, и еще не активно подключены к другому устройству

  От: #Toyfail Анализ проблем потребителей и конфиденциальности в трех игрушках, подключенных к Интернету, декабрь 2016, Forbrukerrådet, p. 31

Вместе это означает, что третье лицо может соединить свой телефон с куклой, выключить индикатор отправки и прослушать ничего не подозревающих людей вокруг куклы. Таким образом, речь идет не только о том, что 3d-участники не знают о возможностях отправки, а о скрытой возможности отправки, которая практически неизбежна при использовании устройства в соответствии с его назначением.
«Знание здравого смысла» (зная, что у куклы есть возможность подключения к Интернету и возможности отправки, а ее индикатор отправки не включен) недостаточно для обеспечения конфиденциальности здесь - по крайней мере, нужно знать об этих подвигах и затем принимать дополнительные меры предосторожности соответственно ,

В пресс-релизе Bundesnetzagentur говорится:

Ohne Kenntnis der Eltern können die Gespräche des Kindes and anderer Personen aufgenommen und weitergeleitet werden. [...] Weiter kann ein Spielzeug, wenn die Funkverbindung (wie Bluetooth) vom Hersteller nicht ausreichend geschützt wird, von in der Nähe befindlichen Dritten unbemerkt genutzt werden, um Gespräche abzuhören.

грубый перевод:

Без ведома родителей разговоры ребенка и других людей могут быть записаны и отправлены [в Интернет / третьим лицам]. [...] Кроме того, если радиопередача (например, Bluetooth) не обеспечена должным образом, третьи лица могут использовать эту игрушку поблизости для прослушивания разговоров, которые не воспринимаются.

это не совсем скрыто; устройство рекламируется как «умное» и подключено к Интернету.

Хорошо, но если вы не тот, кто купил его, вы можете не знать, что он записывает вашу речь и отправляет ее в Интернет! Просто купите один и подарите его кому-то, за кем вы хотите шпионить; они подумают, что это просто кукла. Следовательно, это очень скрытое шпионское устройство.

Новости в Германии, где сообщалось, что по немецким законам кукла считается скрытым шпионским устройством, поскольку она выглядит как обычная игрушка без каких-либо электронных компонентов для людей, которые не знают о ее функциях, хотя она может записывать и отправлять данные ,

Это подпадает под «§ 90 Missbrauch von Sendeoder sonstigen Telekommunikationsanlagen» Telekommunikationsgesetz (TKG) и, следовательно, запрещено внутри страны.

Источники:

• http://www.zeit.de/digital/datenschutz/2017-02/my-friend-cayla-puppe-spion-bundesnetzagentur
• https://www.gesetze-im-internet.de/tkg_2004/__90.html

Одна из ключевых проблем My Friend Cayla заключается в том, что отправляемые им аудиофайлы не сохраняются надежно. Кен Мунро провел обширный анализ этого (и многих других IoT-устройств) и указал, что аудиофайлы доступны в Интернете с плохим контролем доступа!

Так что не только все, что говорит ваш ребенок, идет куда-то на сервер, другие могут слушать это

(совет - для безопасности IoT следуйте за Кеном Манро. Вы будете удивлены тем, что он получает доступ не только к устройствам IoT, но и через них к домашним компьютерам, паролям и многому другому!)