¿Por qué la muñeca My Friend Cayla conectada a Internet fue prohibida como un "dispositivo de espionaje oculto"?

Según CNET , la muñeca My Friend Cayla fue prohibida en Alemania porque ha sido clasificada como un "dispositivo de espionaje oculto" ilegal:

Si está considerando comprar un juguete conectado para su descendencia, puede pensarlo dos veces.

En Alemania, los reguladores han determinado que la muñeca My Friend Cayla podría no ser buena, dado su potencial para robar información sobre los niños que juegan con ella. Y dicen que los padres alemanes cuyos hijos están en posesión de una muñeca Cayla deberían destruir el juguete.

La Agencia Federal de Redes dijo en un comunicado de prensa el viernes que ha retirado las muñecas Cayla del mercado en Alemania y que no buscará enjuiciar a los padres que compraron una. Sin embargo, espera que los padres que hayan comprado una muñeca asuman la responsabilidad de destruirla.

Las muñecas Cayla, que incorporan micrófonos y hacen preguntas a los niños sobre sí mismas y sus padres, se clasifican como "dispositivos de espionaje ocultos", cuya posesión y venta están prohibidas por la ley alemana.

Investigué un poco sobre el juguete anteriormente cuando alguien preguntó por el juguete, y aunque parece un poco inapropiado enviar el discurso de sus hijos a un servidor en la nube, no está exactamente oculto ; El dispositivo se anuncia como 'inteligente' y está conectado a Internet.

¿Hay otros defectos con la muñeca que lo hicieron ilegal (piratería, tal vez?), O fue prohibido simplemente debido a las preocupaciones de privacidad de enviar datos al fabricante?

Según entiendo los problemas, hay dos puntos particulares en los que la muñeca Cayla difiere de los juguetes similares permitidos :

• La muñeca tiene una luz que indica cuándo está enviando, pero se puede apagar de forma remota (aplicación de teléfono inteligente).

• Además, la falta de seguridad de emparejamiento de bluetooth (sin presionar un botón, sin PIN) significa que es bastante fácil para terceros controlar el muñeco:

  cualquier persona dentro de un radio de 15 metros [...] puede conectarse a los juguetes siempre que estén encendidos y no estén ya emparejados activamente con otro dispositivo

  de: #Toyfail Un análisis de los problemas del consumidor y la privacidad en tres juguetes conectados a Internet, diciembre de 2016, Forbrukerrådet, p. 31

Juntos, esto significa que un tercero puede vincular su teléfono con la muñeca, apagar el indicador de envío y escuchar a las personas desprevenidas que la rodean. Por lo tanto, esto no se trata "solo" de que las partes en 3D no sean conscientes de las capacidades de envío, se trata de la capacidad de envío oculta que es casi inevitable con el dispositivo utilizado de acuerdo con su propósito.
El "conocimiento del sentido común" (saber que la muñeca tiene conectividad a Internet y capacidades de envío y su luz de envío no está encendida) no es suficiente para garantizar la privacidad aquí; al menos, uno necesitaría conocer estas vulnerabilidades y luego tomar precauciones adicionales en consecuencia .

El comunicado de prensa del Bundesnetzagentur dice:

Ohne Kenntnis der Eltern können die Gespräche des Kindes und anderer Personen aufgenommen und weitergeleitet werden. [...] Weiter kann ein Spielzeug, wenn die Funkverbindung (wie Bluetooth) vom Hersteller nicht ausreichend geschützt wird, von in der Nähe befindlichen Dritten unbemerkt genutzt werden, um Gespräche abzuhören.

traducción aproximada:

Sin el conocimiento de los padres, las conversaciones del niño y otras personas pueden grabarse y enviarse [a Internet / terceros]. [...] Además, si la transmisión de radio (por ejemplo, bluetooth) no está asegurada adecuadamente, el juguete puede ser utilizado por terceros en las cercanías para aprovechar las conversaciones sin ser percibidas.

no está exactamente oculto; El dispositivo se anuncia como 'inteligente' y está conectado a Internet.

Está bien, pero si usted no fue quien lo compró, ¡puede que no se dé cuenta de que está grabando su discurso y enviándolo a Internet! Simplemente compre uno y déselo como regalo a alguien a quien desee espiar; pensarán que es solo una muñeca. Por lo tanto, es un dispositivo de espionaje oculto.

Las noticias en Alemania informaron que, según las leyes alemanas, la muñeca se considera un dispositivo de espionaje oculto, ya que parece un juguete normal sin partes electrónicas para las personas que no conocen sus funciones, aunque puede grabar y enviar datos .

Esto se incluye en "§ 90 Missbrauch von Sendeder sonstigen Telekommunikationsanlagen" de Telekommunikationsgesetz (TKG) y, por lo tanto, está prohibido en el país.

Fuentes:

• http://www.zeit.de/digital/datenschutz/2017-02/my-friend-cayla-puppe-spion-bundesnetzagentur
• https://www.gesetze-im-internet.de/tkg_2004/__90.html

Uno de los problemas clave con My Friend Cayla es que los archivos de audio que envía no se guardan de forma segura. Ken Munro ha llevado a cabo un análisis exhaustivo sobre este (y muchos otros dispositivos IoT) y señala que los archivos de audio están disponibles en Internet, ¡con controles de acceso deficientes!

Entonces, no solo todo lo que su hijo dice va a un servidor en alguna parte, sino que otros pueden escucharlo ...

(consejo: para la seguridad de IoT, sigue a Ken Munro. ¡Te sorprenderá el acceso que obtiene no solo a los dispositivos de IoT, sino a través de ellos a las computadoras domésticas, las contraseñas y más!)