Har du tenkt å kjøpe en internettilkoblet leke til jul? Noen som kan snakke med ungene dine mens du sover? Det bør du kanskje revurdere.
På oppdrag fra Forbrukerrådet har vi testet sikkerheten i flere internettilkoblede dukker. Det er i all hovedsak dukkene My Friend Cayla og I-Que som markedsføres i Norge, og begge kommer fra produsenten Genesis.
Vi testet en dukke til, nemlig Hello Barbie fra produsenten Mattel, men siden denne ikke aktivt markedsføres i Norge, har jeg valgt å fokusere denne bloggposten på de to førstnevnte.
Hvis du likevel er nysgjerrig på Hello Barbie, eller vil ha flere detaljer om hvordan vi har gjort testingen, så finner du alt i vår tekniske analyse og forbrukerrådets rapport.
En tøff jobb
Vi gikk systematisk til verks og det første vi ville se på var kommunikasjonen mellom dukkene og mobiltelefonen. Dukkene er tilkoblet internett via wifi, og kan videre kobles til mobiltelefoner via Bluetooth.
Vi regnet med at kommunikasjonen mellom dukkene og omverdenen benyttet en form for kryptering, så vi gikk til innkjøp av diverse utstyr som gjør det mulig å inspisere disse tilkoblingene.
Bluetooth-forbindelser kan overvåkes med verktøyene Übertooth og Bluefruit LE Sniffer, mens den fleksible programmerbare radioen HackRF kan overvåke alle frekvenser mellom 1 MHz og 6 GHz, noe som gjør at den blant annet klarer å snappe opp eventuell kommunikasjon som foregår på trådløse nettverk.
Etter å ha forsikret amerikanske myndigheter om at vi ikke skulle benytte utstyret til våpenproduksjon, eller eksportere det til Nord-Korea, var bestillingen i orden.
Etter noen uker var alt utstyret levert og vi hadde satt opp en lab for å teste lekene. Før vi begynte testen, ville vi sjekke at alle lekene fungerte som de skulle. Vi tok frem bruksanvisningene og satte dem opp til punkt og prikke etter leverandørenes instruksjoner.
Vi ignorerte rare blikk fra kolleger, og satte i gang med å prøve ut lekene.
Først ut var Cayla. En riktig koselig dukke som med sin søte stemme forteller trivelige historier og villig vekk svarer på dine spørsmål. En leke det var lett å bli glad i.
I-Que er en robot fra samme produsent og er et mer eller mindre identisk produkt, men lot til å være mer rettet mot gutter. I tillegg til å lytte og snakke kunne denne bevege litt på seg, men denne funksjonaliteten var meget begrenset.
Ugler i mosen
Etter å ha prøvd litt frem og tilbake med Cayla og I-Que begynte plutselig I-Que å snakke med stemmen til Cayla. Det var jo litt rart. Vi lurte på om det var fordi dukkene var fra samme produsent, og dermed brukte samme nøkkel for godkjenning.
Men vi satt igjen med spørsmålet: Hvordan fungerer egentlig godkjenningsprosessen mellom den medfølgende appen og dukkene? Var det i det hele tatt en godkjenningsprosess? Som et innfall startet vi Angry Birds-appen på mobiltelefonen vår, en app som ikke har noe som helst med dukken å gjøre. Og ut av høyttaleren på dukken kom spillmusikken fra Angry Birds.
Cayla oppførte seg mistenkelig likt en billig Bluetooth-handsfree.
Etter et par telefonsamtaler, hvor vi benyttet Cayla som håndsett, var mistanken ytterligere styrket. Det var rett og slett ikke noen godkjenning mellom mobiltelefonen/nettbrett, dukke og app, og dermed ingen kontroll på hvor lyden kom fra eller ble sendt til.
Hvilken som helst mobiltelefon, nettbrett eller datamaskin med Bluetooth kan koble til dukkene. Det eneste kravet er at den ikke er koblet til en annen enhet akkurat i det du kobler til den.
Ting blir stygt
Vi fant fram en helt standard iPhone som aldri hadde vært i nærheten av dukkene tidligere, og skrudde på Bluetooth. Under “Andre enheter” fant vi Top Toy Cayla. Vi forsøkte å koble oss til dukken, og fikk umiddelbart tilgang.
Vi trengte ikke fysisk tilgang til dukken og måtte heller ikke inn med noen passord. Etter at vi var koblet til kunne både Cayla og I-Que fungere som ekstern mikrofon og høyttaler for hvilken som helst tilkoblet mobiltelefon.
Med en helt vanlig mobiltelefon, uten noe fancy utstyr eller programvare, kunne vi altså ta over mikrofon og høyttaler i dukkene, høre hva som ble sagt i rommet og få den til å si hva som helst.
Billige løsninger
Kan det faktisk være sånn at den dyre og fancy internett-tilkoblede dukken bare består av en billig Bluetooth-handsfree pakket inn i en dukke? Vi tok fram skrujernet.
Og det var akkurat like ille som vi antok: Inni dukken finner vi et kretskort med en Bluetooth modul basert på en IS1685S-chip fra ISSC.
Bluetooth standarden støtter flere ulike sikkerhetsnivå, men her har produsenten valgt den absolutt laveste nivået som innebærer at hvem og hva som helst kan koble til enheten.
Hadde produsenten lagt på en pinkode eller i det minste en knapp du må trykke på for å koble dukken til en ny enhet ville dukken ha vært langt tryggere.
Sikkerhetshull kan ha alvorlige konsekvenser
At noen kan ta over lekene til barna dine og få dem til å si stygge ting høres kanskje ikke spesielt alvorlig ut. Men dette er leker som er designet for at barn skal kunne snakke med og stole på dem. Hva om dukken plutselig forteller barnet ditt at det skal gå ut til den snille mannen, som står parkert utenfor med en varebil full av godteri?
Vi er rett og slett skikkelig skuffa. Først og fremst over lekeprodusenter som setter barns sikkerhet i fare for å spare noen småkroner, men også over at lekene strøk i sikkerhetstesten alt før vi fikk begynt på selve testingen slik at vi knapt fikk brukt det fine utstyret vi hadde kjøpte inn. Vi tar derfor gjerne imot forslag til andre IoT enheter vi burde teste.
Selv om to av dukkene strøk før testen begynte gjorde vi flere tester der vi blant annet så på hva appene til dukkene sendte over internett, kryptering og om dataene ble sendt til 3. parter. Samtidig gjorde Forbrukerrådet en grundig gjennomgang av brukervilkårene og hva det innebærer for forbrukerne.
Detaljene rundt det kan du se i vår tekniske analyse og hos Forbrukerrådet.
NRKbeta følger opp:
Den norske importøren Top Toy sier at de ikke har blitt kontaktet av Forbrukerrådet, og tilbyr alle bekymrede foreldre pengene tilbake om de ønsker å returnere produktet.
Vi følger naturligvis nøye med på undersøkelsen av Cayla og I-Que for å komme til bunns i Forbrugerrådets kritikk av de to produkter; og vi er selvfølgelig i kontakt med vår leverandør om dette.
De lekene vi selger i våre butikker skal selvfølgelig være sikre for barn å leke med, og det skal selvsagt også leve opp til lovgivningen og de standarder som EUs leketøysdirektiv har fastsatt. Standarder som vi forøvrig synes er helt rimelig.
Vi har ikke blitt kontaktet av de offentlige myndigheter om Cayla eller I-Que, og det er jo dem som forholder seg til om et produkt er lovlig og sikkert i Norge. Vi jobber alltid seriøst sammen med offentlige myndigheter hvis de kontakter oss. Det vil vi selvfølgelig også gjøre i denne saken hvis det skulle bli aktuelt.
Hvis det skulle være noen foreldre som har blitt bekymret etter de seneste dagers debatt om Cayla og I-Que er de velkommen til å komme ned i en av våre butikker og få pengene igjen for den Cayla eller I-Que de har kjøpt hos oss. Vi ønsker definitivt ikke at noen av våre kunder skal føle seg utrygge, og hvis kundene vil føle seg tryggere ved å returnere varen står vi selvfølgelig klare til og hjelp dem.
Kommunikasjonsrådgiver i Top Toy, Line Rasch
Produsenten av robotene, Genesis Toys, har foreløpig ikke besvart NRKbetas henvendelse.
Forbrukerrådet sendte torsdag et brev til Top Toy, BR, Toys’r’Us (begge eies av Top toy) og Nille, hvor de har bedt dem trekke lekene fra markedet.
– Vi kan ikke kreve at de trekker produktet, men vi forventet at butikkene ville ta ansvar og gjøre noe. Dette skjedde blant annet i Belgia og Nederland, hvor butikkene selv har valgt å trekke produktet, sier direktør i Forbrukerrådet, Randi Flesland til NRKbeta.
Da de ikke gjorde dette, sendte vi et brev vi har fått bekreftelse på at de har mottatt.
– Nå avventer vi svar fra dem, og eventuelt at de foretar seg noe, sier Flesland.