Por que o boneco My Friend Cayla, conectado à Internet, foi banido como um "dispositivo de espionagem oculto"?

Segundo a CNET , a boneca My Friend Cayla foi proibida na Alemanha porque foi classificada como um "dispositivo de espionagem oculta" ilegal:

Se você está pensando em comprar um brinquedo conectado para a sua prole, pense duas vezes.

Na Alemanha, os órgãos reguladores determinaram que o boneco My Friend Cayla pode não ser bom, dado o seu potencial de roubar informações sobre crianças que brincam com ele. E eles dizem que os pais alemães cujos filhos estão de posse de uma boneca Cayla deveriam destruir o brinquedo.

A Agência Federal de Rede disse em comunicado divulgado na sexta-feira que removeu as bonecas Cayla do mercado na Alemanha e não procurará processar os pais que compraram uma. Espera, no entanto, que os pais que compraram uma boneca assumam a responsabilidade de destruí-la.

As bonecas Cayla, que incorporam microfones e fazem perguntas às crianças sobre si mesmas e seus pais, são classificadas como "dispositivos ocultos de espionagem", cuja posse e venda são proibidas pela lei alemã.

Eu pesquisei um pouco sobre o brinquedo anteriormente quando alguém perguntou sobre o brinquedo e, embora pareça um pouco inapropriado enviar o discurso de seus filhos para um servidor em nuvem, ele não está exatamente oculto ; o dispositivo é anunciado como 'inteligente' e conectado à Internet.

Existem outras falhas no boneco que o tornaram ilegal (hackers, talvez?), Ou foram banidas simplesmente devido às preocupações de privacidade de enviar dados ao fabricante?

Pelo que entendi, há dois pontos específicos em que a boneca Cayla difere de brinquedos permitidos semelhantes :

• A boneca tem uma luz indicando quando está enviando - mas isso pode ser desligado remotamente (aplicativo para smartphone).

• Além disso, a falta de segurança de emparelhamento Bluetooth (sem pressionar o botão, sem PIN) significa que é bastante fácil para terceiros assumir o controle da boneca:

  qualquer pessoa em um raio de 15 metros [...] pode se conectar aos brinquedos desde que estejam ligados, e ainda não emparelhados ativamente com outro dispositivo

  de: #Toyfail Uma análise das questões de consumidor e privacidade em três brinquedos conectados à Internet, dezembro de 2016, Forbrukerrådet, p. 31

Juntos, isso significa que um terceiro pode emparelhar seu telefone com a boneca, desligar o indicador de envio e ouvir as pessoas inocentes ao redor da boneca. Portanto, isso não é "apenas" que as partes 3D não estão cientes dos recursos de envio, trata-se de um recurso oculto de envio que é quase inevitável com o dispositivo sendo usado de acordo com sua finalidade.
O "conhecimento do senso comum" (saber que a boneca tem conectividade com a Internet e recursos de envio e sua luz de envio não está acesa) não é suficiente para garantir a privacidade aqui - pelo menos, seria necessário conhecer essas explorações e tomar precauções adicionais de acordo. .

O comunicado de imprensa do Bundesnetzagentur diz:

Ohne Kenntnis der Eltern können die Gespräche des Kindes and anderer Personen aufgenommen und weitergeleitetitetden areden. [...] Weiter canann in Spielzeug, we have funkverbindung (w Bluetooth) from Hersteller nicht ausreichend geschützt wird.

tradução grosseira:

Sem o conhecimento dos pais, as conversas da criança e de outras pessoas podem ser gravadas e enviadas [para a Internet / terceiros]. [...] Além disso, se a transmissão de rádio (por exemplo, bluetooth) não estiver adequadamente protegida, o brinquedo poderá ser usado por terceiros nas proximidades para tocar em conversas não percebidas.

não está exatamente escondido; o dispositivo é anunciado como 'inteligente' e conectado à Internet.

Ok, mas se você não comprou, talvez não saiba que ele está gravando seu discurso e enviando-o para a Internet! Basta comprar um e dar de presente para alguém que você deseja espionar; eles acham que é apenas uma boneca. Portanto, é muito um dispositivo de espionagem oculto.

As notícias na Alemanha que informam que, segundo as leis alemãs, a boneca é considerada um dispositivo de espionagem oculta, pois parece um brinquedo normal sem partes eletrônicas para pessoas que não conhecem suas funções, apesar de poder gravar e enviar dados .

Isso se enquadra no "§ 90 Missbrauch von Sendedor sonstigen Telekommunikationsanlagen" da Telekommunikationsgesetz (TKG) e, portanto, é proibido no país.

Fontes:

• http://www.zeit.de/digital/datenschutz/2017-02/my-friend-cayla-puppe-spion-bundesnetzagentur
• https://www.gesetze-im-internet.de/tkg_2004/__90.html

Um dos principais problemas do My Friend Cayla é que os arquivos de áudio enviados não são salvos com segurança. Ken Munro realizou uma extensa análise sobre este (e muitos outros dispositivos de IoT) e ressalta que os arquivos de áudio estão disponíveis na Internet, com controles de acesso deficientes!

Portanto, não apenas tudo o que seu filho diz vai a um servidor em algum lugar, mas outros podem ouvi-lo ...

(um conselho - para segurança da IoT, siga Ken Munro. Você ficará surpreso com o acesso que ele obtém não apenas aos dispositivos da IoT, mas através deles a computadores domésticos, senhas e muito mais!)