Исследователи по кибербезопасности в очередной раз бьют тревогу — на этот раз в связи с «умными» игрушками, которые принадлежат к интернету вещей, а значит имеют WiFi- или Bluetooth-соединение.
Говорящие плюшевые звери стали популярным подарком для детей. Имея доступ к интернету и мобильному приложению, такая игрушка может воспроизводить записанный на диктофон текст, а также повторять слова за ребенком.
К сожалению, несмотря на то, что «умный» мишка или кролик являются полноценным высокотехнологичным гаджетом, зачастую компании-производители пренебрегают правилами информационной безопасности. Из-за этого игрушка становится идеальным объектом для взлома, подвергая риску как детей, так и их родителей.
Уже не игрушки
Ревью-портал Which? совместно с немецкой потребительской группой и экспертами по кибербезопасности нашли уязвимости в защите «умных» игрушек популярных брендов, которые позволяют подключиться к ним удаленно, а затем отправить сообщение ребенку или даже разговаривать с ним на постоянной основе.
Устройства с уязвимостями имеют незащищенное соединение, то есть злоумышленнику не нужен пароль, PIN-код или любой другой идентификатор, чтобы получить доступ к игрушке и начать обмениваться голосовыми сообщениями с ее владельцем. При этом исследователи подчеркивают, что для взлома не требуются специальные хакерские навыки, а лишь базовые технические знания.
Таким образом, совершенно незнакомый человек может подключиться к игрушке и начать разговаривать ее голосом с маленьким ребенком. Родители могут и не узнать о наличии такого «друга по интернету», который в свою очередь может внушить малышу любые мысли.
Мошенник может напугать ребенка, заставить его открыть дверь в квартиру или даже довести до преступления.
«Наше исследование показывает, что любой человек, желающий купить себе «умную» игрушку, должен соблюдать меры предосторожности. Безопасность должна быть в приоритете любого подобного устройства. Если это нельзя гарантировать, такой товар вообще не должен быть в продаже», — заявил Алекс Нил, управляющий директор продуктов и сервисов для дома компании Which?, которая проводила эксперимент.
Британская ассоциация игрушек и хобби, в которую входят крупные производители «умных» зверей, заявила, что ознакомилась с исследованием, но не видит особых причин для тревоги.
«Обстоятельства в эксперименте сложились настолько идеально, что подобный исход маловероятен в реальности», — заявил представитель ассоциации.
Руководитель отдела технического маркетинга ESET Russia Алексей Оськин в беседе с «Газетой.Ru» сообщил о том, что «умные» игрушки не представляют опасности, если соблюдать стандартные рекомендации: не подключаться к открытым сетям, использовать шифрование, а также установить сложный пароль на подключение к сети.
Эксперт добавил, что перехватить данные, передаваемые через Bluetooth, возможно, но для взлома необходимо находиться в радиусе действия игрушки — до ста метров при прямой видимости (при условии использования современного и дорогого устройства и минимизации факторов, влияющих на его работу), либо до 10-20 метров в зданиях.
«Рекомендуем приобретать устройства известных производителей – крупные компании инвестируют в продукты для безопасности и дорожат своей репутацией», — заключил собеседник «Газеты.Ru».
Чем умнее, тем опаснее
В марте 2017 года игрушки с подключением к интернету уже оказывались в центре скандала — плюшевых зверей CloudPets обвинили в незаконной записи конфиденциальных разговоров ребенка и его семьи. В результате база данных с аудио оказалась скомпрометирована хакерами, которые предположительно похитили около 800 тыс. файлов с информацией о владельцах игрушки.
Причиной инцидента стал тот факт, что производитель CloudPets не выставил никаких требований к сложности пароля, из-за чего большая часть кодовых слов была легко угадана злоумышленниками.
Кроме того выяснилось, что взломанная база данных в течение недели находилась в открытом доступе в интернете, но компания не уведомила об этом своих покупателей.
Даже в официальном промо-видео, рекламирующем «умную» игрушку, было рекомендовано использовать пароль «qwe», что объясняет такое большое количество пострадавших от хакерского взлома.
Тогда эксперты технологического портала Motherboard порекомендовали родителям не засматриваться на игрушки с подключением к интернету, а купить своим детям «старого доброго плюшевого медведя без доступа к сети».