In een onderzoek van de University of Washington onder spelende kinderen van zes tot tien jaar oud eerder dit jaar bleek dat het probleem is dat gebruikers niet door hebben dát ze worden opgenomen. Voor volwassenen is het vaak al niet duidelijk wat er wanneer er welke gegevens worden opgeslagen in de cloud, maar voor kinderen is dat cloudconcept al helemaal vreemd. Toen een ouder uitlegde dat hun gesprekken werden opgeslagen op computers, reageerde een kind tekenend met: "Dat is best eng."

Het kan beter

Er zijn meerdere oplossingen om dit soort speelgoed minder eng te maken. Internetverbonden spullen zijn niet de facto gevaarlijk voor ons; het is de manier waarop we slordig met irrelevant lijkende gegevens omgaan die deze trend om alles aan een netwerk te hangen zo akelig maakt. We zijn hier dol op gadgets, alleen niet zo gek op de immense dataverzameling die daar anno nu mee gepaard gaat.

Het zou volgens ons veel beter zijn als IoT-data in de netwerkedge werd geminimaliseerd (kortom, verwerk ruwe data in het apparaat; niet in de cloud), maak er vooral éénrichtingscommunicatie van (de cloud geeft door aan het apparaat, niet andersom, of zorg dat alleen resultaatgegevens worden verwerkt om bijvoorbeeld leermodellen te verbeteren) en zorg ervoor dat het apparaat duidelijk aangeeft wanneer er wordt opgenomen, bijvoorbeeld met een indicator op het speelgoed.

Bezint eer ge begint

En laten we allemaal eens kritisch kijken naar de beveiligingsmaatregelen. Fabrikanten mogen daar veel harder aan trekken en gebruikers kunnen wel een stukje gezonde paranoia gebruiken. Voor IoT-speelgoed geldt zeer zeker RTFM - en hier schort het helaas ook nog iets te vaak aan in de zin dat fabrikanten een stappengids van drie blaadjes leveren over hoe je een pop aanzet en verder niet - en loop de configuratie even door voor je het speelgoed weggeeft.

Bedenk daarbij ook dat zelfs als de beveiliging van het speelgoed op zich op orde lijkt, bijvoorbeeld met versleutelde dataverbinding en console met unieke wachtwoorden, ook voor het thuisnetwerk geldt dat de security maar zo sterk is als de zwakste schakel. En qua hardware komt dat vaak neer op de thuisrouter, bij veel non-techies een vol kwetsbaarheden zittende en nooit bijgewerkte standaardrouter met standaardwachtwoord die ooit is geleverd door de provider. IoT-apparaten en -speelgoed zijn een goed moment om eens kritisch naar de routerbeveiliging te kijken.

Hier volgen vijf speeltjes die je waarschijnlijk liever niet aantreft in de jutenzak op 5 december.

1. SmartToy Monkey & Bear

Rapid7 boog zich vorig jaar over slimme knuffelberen van Fisher Price en ontdekte dat de aapjes en beertjes niet erg zorgvuldig omsprongen met data. Niet alleen werd de zender van de data niet geverifieerd, ook was het 'unieke' account dat werd gebruikt relatief eenvoudig te achterhalen, zo staat te lezen in deze CERT-waarschuwing.

Het was daarom niet zo moeilijk voor een aanvaller om de identiteit te raden en vervolgens toegang tot het speelgoed en/of het platform te krijgen. Daarmee kon een aanvaller in theorie - het lijkt erop dat het in de praktijk niet is misbruikt voor het issue werd gepatcht - niet alleen de knuffelbeer bedienen, maar ook zien wat de naam, geboortedatum, geslacht en moedertaal van het kind is, plus met welk speelgoed ze nog meer spelen.

"Gegevens als namen en verjaardagen zijn gegevens die niet geheim zijn, maar ze kunnen worden gecombineerd om een duidelijker profiel van een kind te maken om een aantal social engineering of andere malafide campagnes op te zetten die gericht zijn op het kind of de verzorgers daarvan", aldus het beveiligingsbedrijf.

2. My Friend Cayla

De ophef omtrent My Friend Cayla heeft ertoe geleid dat het speelgoed verboden is op de Duitse markt. Onze eigen Consumentenbond waarschuwt dat mensen ten minste heel voorzichtig omgaan met dit speelgoed, onder meer door Cayla uit te schakelen als ze niet wordt gebruikt. De pop neemt namelijk audio op en stelt deze via Bluetooth beschikbaar aan apparaten in de buurt.

De onbeveiligde verbinding kan door iedereen binnen het bereik van de Bluetooth-verbinding worden opgepikt. De communicatie is gevoelig voor een MitM-aanval, malafide pairings met onbekende apparaten en het backdooren van de pop zelf, zo ontdekte Pen Test Partners. Met die laatste mogelijkheid krijgt een aanvaller permanente toegang tot het speelgoed.

Dat is al eng genoeg, maar waar diverse organisaties zich nog drukker over maken is de informatie die de producent verzamelt. Op de data wordt spraakherkenning uitgevoerd en de gegevens worden gedeeld met advertentiepartners. Maker Nuance doet daar verder het zwijgen over toe, maar diverse landen boycotten het apparaat, in Nederland haalde Intertoys het uit de winkels en Duitsers kregen zelfs het advies om de pop te vernietigen.

3. hereO GPS

Dit is helemaal pijnlijk: dit kleurrijke horloge is bedoeld zodat ouders hun kinderen kunnen monitoren, zodat je weet waar ze zich bevinden. De producent richt zich op ouders van kinderen tussen de drie en twaalf jaar oud en biedt een soort sociale netwerktool, waardoor gebruikers aan groepen gekoppeld kunnen worden, om bijvoorbeeld een verjaardagspartijtje in goede banen te leiden.

Beveiligingsbedrijf Rapid7 vond een autorisatie-issue in het hereO GPS-platform, waardoor kwaadwillenden toegang konden krijgen. Een aanvaller kon met een eigen account een koppelverzoek sturen naar de groep die hij of zij op het oog had en door een fout in de API kon de aanvaller dat verzoek accepteren.

De groep krijgt dan wel een melding te zien dat X bij de groep is gekomen, maar een slimme social engineer werkt daar omheen, zo beschrijft Rapid7, bijvoorbeeld door te doen alsof de boodschap slechts een test van een familielid is. Bovendien heeft de aanvaller op zijn minst toegang tot historische gegevens van het platform, zoals locaties uit het verleden.

De beveiligingsfout is dan wel eind 2015 opgelost, het incident illustreert een fundamenteel probleem met dit soort tools om kinderen te monitoren. De ouder is namelijk niet de enige die dat kan doen. In de beste omstandigheden worden alleen ouders verwittigd van de locatie, voor de hand ligt dat de informatie bij producenten en partnerbedrijven komt te liggen en niet geheel ondenkbaar is dus dat zelfs kwaadwillenden bij deze informatie kunnen.

Gewoon niet doen, zo'n GPS-horloge.

4. Hello Barbie

Deze slimme Barbie-pop is volop in het nieuws geweest de afgelopen jaren en heeft veel weerstand opgeroepen. Net als Cayla gebruikt de pop spraakherkenningstechnologie, alleen deze verbindt met wifi in plaats van Bluetooth - wat al een marginale verbetering is. Dat neemt niet weg dat gebruikers zich zorgen maakten over privacy-issues van de meeluisterende pop.

Qua security doet de pop het stukken beter dan Cayla, onder meer door credentials versleuteld op te slaan. Toch blijft het een endpoint in het netwerk wat gebruikers snel over het hoofd zien en niet meenemen in patchrondes (als apparaten überhaupt worden bijgewerkt.) Dat niet alleen: de pop zelf bleek redelijk bestand tegen aanvallen, maar dat gold helaas niet voor de back-end (PDF).

Onderzoekers vonden 14 manieren waarop de communicatie niet sterk genoeg is beveiligd, onder meer zodat credentials konden worden gebruteforced - wat de versleuteling ervan teniet doet - MitM-aanvallen konden worden uitgevoerd met malafide redirects en gebrekkige authenticatie om gevoelige onderdelen aan te spreken. Dus de weerstand is gebleven. Hello Barbie heeft zelfs ouders weten te verenigen in een actiecomité met de naam Hell No Barbie.

Misschien vanwege alle ophef rond de Barbie besloot Mattel eerder deze maand om een slimme babyfoon toch maar niet op de markt te brengen. Diverse actiegroepen en zelfs een paar politici maakten zich zorgen dat de Alexa voor kinderen de privacy van burgers verder zou uithollen en dat de beveiliging niet op orde zou zijn. Mattel besloot dat het apparaat niet paste in zijn huidige marktstrategie.

5. Vtech-speelgoed

Lekkende database-onderzoeker Troy Hunt kreeg van een journalist een berg accounts in handen die ogenschijnlijk van speelgoedfabrikant Vtech afkomstig waren. Hunt vroeg aan enkele gebruikers die ook voorkwamen in zijn Have I Been Pwned-mailinglijst of ze Vtech-accounts hadden en zo wist hij snel te bevestigen dat Vtech inderdaad slachtoffer was geworden van een hack.

Maar wat hij vervolgens ontdekte bij zijn onderzoek, is simpelweg stuitend. De website van Vtech had niet eens een HTTPS-inlogportal, waardoor gebruikers open en bloot hun credentials communiceerden. Vtech sloeg deze wachtwoorden 'versleuteld' op door hashfunctie MD5 erop los te laten, zonder salt. Daarmee zijn de wachtwoorden - tenzij het unieke, sterke strings zijn - bijzonder eenvoudig te herleiden. Hunt: "Ze hadden net zo goed niets kunnen doen."

Zo lagen foto's en chatlogs van kinderen voor het oprapen, zo schreef Vice destijds. "Wat me echt teleurstelt is het volledige gebrek aan zorg om deze data te beveiligen dat Vtech heeft laten zien", schrijft Hunt in zijn blog. "Er was voor mij niets meer dan een oppervlakkige verkenning van openbare communicatie nodig om serieuze tekortkomingen te zien die niet alleen makkelijk te benutten zijn, maar klaarblijkelijk ook zijn benut."

Het relaas is huiveringwekkend en genoeg om het vertrouwen in Vtech voor altijd op te zeggen. Zelfs speelgoed dat niet eens zijn eigen internetverbinding heeft, verdient al een kritische blik van ouders, zo blijkt uit dit incident.