Forbruker, Gjestebloggere & Sikkerhet

Dårlig sikkerhet på internett-tilkoblede leker kan sette dine barn i fare


Har du tenkt å kjøpe en internettilkoblet leke til jul? Noen som kan snakke med ungene dine mens du sover? Det bør du kanskje revurdere.

På oppdrag fra Forbrukerrådet har vi testet sikkerheten i flere internettilkoblede dukker. Det er i all hovedsak dukkene My Friend Cayla og I-Que som markedsføres i Norge, og begge kommer fra produsenten Genesis.

Vi testet en dukke til, nemlig Hello Barbie fra produsenten Mattel, men siden denne ikke aktivt markedsføres i Norge, har jeg valgt å fokusere denne bloggposten på de to førstnevnte.

IMG_2099-e1481029986575

Hvis du likevel er nysgjerrig på Hello Barbie, eller vil ha flere detaljer om hvordan vi har gjort testingen, så finner du alt i vår tekniske analyse og forbrukerrådets rapport.

En tøff jobb

IMG_3034-e1481030031484

Vi gikk systematisk til verks og det første vi ville se på var kommunikasjonen mellom dukkene og mobiltelefonen. Dukkene er tilkoblet internett via wifi, og kan videre kobles til mobiltelefoner via Bluetooth.

Vi regnet med at kommunikasjonen mellom dukkene og omverdenen benyttet en form for kryptering, så vi gikk til innkjøp av diverse utstyr som gjør det mulig å inspisere disse tilkoblingene.

Bluetooth-forbindelser kan overvåkes med verktøyene Übertooth og Bluefruit LE Sniffer, mens den fleksible programmerbare radioen HackRF kan overvåke alle frekvenser mellom 1 MHz og 6 GHz, noe som gjør at den blant annet klarer å snappe opp eventuell kommunikasjon som foregår på trådløse nettverk.

Etter å ha forsikret amerikanske myndigheter om at vi ikke skulle benytte utstyret til våpenproduksjon, eller eksportere det til Nord-Korea, var bestillingen i orden.

IMG_2372-e1481030080642

Etter noen uker var alt utstyret levert og vi hadde satt opp en lab for å teste lekene. Før vi begynte testen, ville vi sjekke at alle lekene fungerte som de skulle. Vi tok frem bruksanvisningene og satte dem opp til punkt og prikke etter leverandørenes instruksjoner.

Vi ignorerte rare blikk fra kolleger, og satte i gang med å prøve ut lekene.

Hils på Cayla
Hils på Cayla

Først ut var Cayla. En riktig koselig dukke som med sin søte stemme forteller trivelige historier og villig vekk svarer på dine spørsmål. En leke det var lett å bli glad i.

I-Que er en robot fra samme produsent og er et mer eller mindre identisk produkt, men lot til å være mer rettet mot gutter. I tillegg til å lytte og snakke kunne denne bevege litt på seg, men denne funksjonaliteten var meget begrenset.

Ugler i mosen

Etter å ha prøvd litt frem og tilbake med Cayla og I-Que begynte plutselig I-Que å snakke med stemmen til Cayla. Det var jo litt rart. Vi lurte på om det var fordi dukkene var fra samme produsent, og dermed brukte samme nøkkel for godkjenning.

Men vi satt igjen med spørsmålet: Hvordan fungerer egentlig godkjenningsprosessen mellom den medfølgende appen og dukkene? Var det i det hele tatt en godkjenningsprosess? Som et innfall startet vi Angry Birds-appen på mobiltelefonen vår, en app som ikke har noe som helst med dukken å gjøre. Og ut av høyttaleren på dukken kom spillmusikken fra Angry Birds.

Cayla oppførte seg mistenkelig likt en billig Bluetooth-handsfree.

Etter et par telefonsamtaler, hvor vi benyttet Cayla som håndsett, var mistanken ytterligere styrket. Det var rett og slett ikke noen godkjenning mellom mobiltelefonen/nettbrett, dukke og app, og dermed ingen kontroll på hvor lyden kom fra eller ble sendt til.

Hvilken som helst mobiltelefon, nettbrett eller datamaskin med Bluetooth kan koble til dukkene. Det eneste kravet er at den ikke er koblet til en annen enhet akkurat i det du kobler til den.

Ting blir stygt

Vi fant fram en helt standard iPhone som aldri hadde vært i nærheten av dukkene tidligere, og skrudde på Bluetooth. Under “Andre enheter” fant vi Top Toy Cayla. Vi forsøkte å koble oss til dukken, og fikk umiddelbart tilgang.

Vi trengte ikke fysisk tilgang til dukken og måtte heller ikke inn med noen passord. Etter at vi var koblet til kunne både Cayla og I-Que fungere som ekstern mikrofon og høyttaler for hvilken som helst tilkoblet mobiltelefon.

Med en helt vanlig mobiltelefon, uten noe fancy utstyr eller programvare, kunne vi altså ta over mikrofon og høyttaler i dukkene, høre hva som ble sagt i rommet og få den til å si hva som helst.

Billige løsninger

Kan det faktisk være sånn at den dyre og fancy internett-tilkoblede dukken bare består av en billig Bluetooth-handsfree pakket inn i en dukke? Vi tok fram skrujernet.

IMG_2941-e1481030645867

IMG_2949-e1481030008520

IMG_2948-e1481031576486

Og det var akkurat like ille som vi antok: Inni dukken finner vi et kretskort med en Bluetooth modul basert på en IS1685S-chip fra ISSC.

Bluetooth standarden støtter flere ulike sikkerhetsnivå, men her har produsenten valgt den absolutt laveste nivået som innebærer at hvem og hva som helst kan koble til enheten.

Hadde produsenten lagt på en pinkode eller i det minste en knapp du må trykke på for å koble dukken til en ny enhet ville dukken ha vært langt tryggere.

Sikkerhetshull kan ha alvorlige konsekvenser

At noen kan ta over lekene til barna dine og få dem til å si stygge ting høres kanskje ikke spesielt alvorlig ut. Men dette er leker som er designet for at barn skal kunne snakke med og stole på dem. Hva om dukken plutselig forteller barnet ditt at det skal gå ut til den snille mannen, som står parkert utenfor med en varebil full av godteri?

Vi er rett og slett skikkelig skuffa. Først og fremst over lekeprodusenter som setter barns sikkerhet i fare for å spare noen småkroner, men også over at lekene strøk i sikkerhetstesten alt før vi fikk begynt på selve testingen slik at vi knapt fikk brukt det fine utstyret vi hadde kjøpte inn. Vi tar derfor gjerne imot forslag til andre IoT enheter vi burde teste.

Selv om to av dukkene strøk før testen begynte gjorde vi flere tester der vi blant annet så på hva appene til dukkene sendte over internett, kryptering og om dataene ble sendt til 3. parter. Samtidig gjorde Forbrukerrådet en grundig gjennomgang av brukervilkårene og hva det innebærer for forbrukerne.

Detaljene rundt det kan du se i vår tekniske analyse og hos Forbrukerrådet.

NRKbeta følger opp:

Den norske importøren Top Toy sier at de ikke har blitt kontaktet av Forbrukerrådet, og tilbyr alle bekymrede foreldre pengene tilbake om de ønsker å returnere produktet.

Vi følger naturligvis nøye med på undersøkelsen av Cayla og I-Que for å komme til bunns i Forbrugerrådets kritikk av de to produkter; og vi er selvfølgelig i kontakt med vår leverandør om dette.

De lekene vi selger i våre butikker skal selvfølgelig være sikre for barn å leke med, og det skal selvsagt også leve opp til lovgivningen og de standarder som EUs leketøysdirektiv har fastsatt. Standarder som vi forøvrig synes er helt rimelig.

Vi har ikke blitt kontaktet av de offentlige myndigheter om Cayla eller I-Que, og det er jo dem som forholder seg til om et produkt er lovlig og sikkert i Norge. Vi jobber alltid seriøst sammen med offentlige myndigheter hvis de kontakter oss. Det vil vi selvfølgelig også gjøre i denne saken hvis det skulle bli aktuelt.

Hvis det skulle være noen foreldre som har blitt bekymret etter de seneste dagers debatt om Cayla og I-Que er de velkommen til å komme ned i en av våre butikker og få pengene igjen for den Cayla eller I-Que de har kjøpt hos oss. Vi ønsker definitivt ikke at noen av våre kunder skal føle seg utrygge, og hvis kundene vil føle seg tryggere ved å returnere varen står vi selvfølgelig klare til og hjelp dem.

Kommunikasjonsrådgiver i Top Toy, Line Rasch

Produsenten av robotene, Genesis Toys, har foreløpig ikke besvart NRKbetas henvendelse.

Forbrukerrådet sendte torsdag et brev til Top Toy, BR, Toys’r’Us (begge eies av Top toy) og Nille, hvor de har bedt dem trekke lekene fra markedet.

– Vi kan ikke kreve at de trekker produktet, men vi forventet at butikkene ville ta ansvar og gjøre noe. Dette skjedde blant annet i Belgia og Nederland, hvor butikkene selv har valgt å trekke produktet, sier direktør i Forbrukerrådet, Randi Flesland til NRKbeta.

Foto: Forbrukerrådet
Da de ikke gjorde dette, sendte vi et brev vi har fått bekreftelse på at de har mottatt.

– Nå avventer vi svar fra dem, og eventuelt at de foretar seg noe, sier Flesland.

8 kommentarer

  1. Bare toppen av isfjellet desverre, men det er viktig at dette problemet belyses og gis oppmerksomhet. God artikkel.
    Snart vil vi oppleve en langt «farligere» verden av IoT /Internet of things hvor sikkerhetsnivået, blant mange andre ting, vil være tvlisomt i beste fall og fraværende i værste fall.

    Svar på denne kommentaren

  2. Mamma som ikke liker Kayla

    Det er så flott dere gjører sånnen test 🙂Dette er akkurat som jeg følte i fjor da datteren fikk denne dukken som var hennes beste venn (på grunn av reklamene rundt den), men vi så med engang det den kunne vært brukt på dårlig måte dersom den funkerer som høytaler og det var store søsteren klar på og å det kunne skrive som helst på appen og dukken snakket det, det er ikke denne dukken som vi tenkte å gi henne, dukke som eldre søsken kunne lure henne med, barnene stoler på dukken som er deres beste venn og tror den er livende og det er farligt… det var grunnen vi ikke kjøpe batteri i Kayla og jeg tenkte hvordan kunne denne dukken vinne premier som årets leketøy og godkjennes i Norge som alt går igjennom godkjenning og sikkerhet og ingenting er lov. Jeg nytter muligheten og leverer inn dukken men må overbevise eieren om bestevennen er ikke så god.

    Svar på denne kommentaren

  3. Takk for dette! Tenkte aldri over hva de fikk og Jeg hadde planer om å kaste begge lekene etter jeg leste forbrukerrådets melding (de fikk hver sin til jul i fjor) Men nå får jeg heller pengene tilbake! 👍🏼 Tok kontakt med BR etter jeg leste denne artikkelen og de svarte jeg bare måtte komme med leken.

    Svar på denne kommentaren

  4. «Vi har ikke blitt kontaktet av de offentlige myndigheter om Cayla eller I-Que, og det er jo dem som forholder seg til om et produkt er lovlig og sikkert i Norge. »

    Så vidt jeg har forstått er det importørens ansvar å forsikre seg om at et produkt er i samsvar med regler og lover. Med det lave kunnskapsnivået importørene ser ut til å besitte og den ansvarsfraskrivelse de viser er jeg redd for at dette bare er toppen av isfjellet.

    Det viser seg gang på gang det blir gjort tester at produkter ikke er i henhold til regelverk. De største problemene tror jeg ligger i innhold av ulovlige stoffer, men problemet rundt ansvarsfraskrivelsen er det samme.
    Samsvarserklæringer basert på «egenmelding» er ofte ikke verdt papiret de er skrevet på den tid de som fyller dem ut ikke forstår eller bryr seg om hva de utsteder.

    Så lenge ting ikke blir kontrollert av tredjepart er dette systemet nærmest verdiløst. Alternativet er å innføre langt strengere reaksjoner på avvik slik at aktørene ikke våger å ta lett på dette.

    Svar på denne kommentaren

  5. Vi kjøpte Cayla-dukken i fjor, det var en kjempetabbe. En ting er at sikkerheten er dårlig som det påpekes her, en annen at stemmegjenkjenningen er så elendig at ungene nesten begynner å grine fordi Cayla ikke forstår dem.

    Svar på denne kommentaren

  6. Kjøpte i-que til datteren min. Nå har jeg alltid et øre eller øye med i hva som blir sagt og hva som skjer, så en evt overgriper ville nok først fått et overaskende besøk av politiet. Man skal alltid vite hva barn gjør med ting som er koblet til internet. Ville nok ikke anbefale barn å ta med leken andre plasser enn der du oppholder deg.

    Svar på denne kommentaren

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *