Интернет игрушечных вещей

Интернет игрушечных вещей

Как родители выбирают подарки для детей? Понятное дело — ищут самые красивые, яркие и интересные игрушки. Желательно развивающие. Неудивительно, что многие останавливают свой выбор на высокотехнологичных гаджетах, имеющих подключение к Интернету: детских компьютерах, куклах с веб-камерами, дистанционно управляемых роботах, машинках или самолетиках. Изучая понравившуюся игрушку, они обращают внимание на ее хрупкость, материалы, из которых она сделана, наличие острых краев или отверстий и прочие физические параметры. О чем они не вспоминают, так это об информационной безопасности. А пора бы.

В чем опасность?

Проблема в том, что об информационной безопасности зачастую не вспоминают не только родители, но и производители. Любой гаджет, имеющий подключение к Интернету, — это по сути мини-компьютер со специализированным программным обеспечением. И неленивые хакеры при необходимости могут найти уязвимость и использовать ее ради слежки или просто злых шуток. Отдельные вопросы возникают к тому, как производители обрабатывают или хранят информацию в своих облачных сервисах. Ведь большая часть подключенных к Интернету игрушек неизбежно отправляют какую-либо информацию в Сеть (фото и видеозаписи, истории поисковых запросов). Кроме того, почти все они требуют создания онлайн-аккаунтов, в которых люди часто указывают реальные имена, адреса и прочие персональные данные.

vtech-hacked-featured

Логичной реакцией родителей на предыдущие два абзаца будет вопрос: да кому это нужно — взламывать игрушки? Что там нашпионишь? Мы не всегда знаем кому и зачем. Мы, например, не представляем, что творилось в голове у человека, взломавшего радионяню. И зачем он следил за ребенком и пугал его ночами. С кражей фотографий и видеозаписей все гораздо проще — ведь в объектив игрушки может попасть что угодно. Во-первых, есть люди, охотящиеся за случайными приватными фотографиями. Во-вторых, потенциально ваш медвежонок с веб-камерой может превратиться даже в кибернаводчика для воров.

Масштабы проблемы

Все еще не убеждены, что это актуальная проблема? Давайте покопаемся в архиве недавних новостей. Начнем с компании Vtech, выпускающей немало подключенных игрушек. В ноябре прошлого года неизвестный хакер обнаружил, что данные с гаджетов этой компании передаются на серверы без какого-либо шифрования, а также смог получить доступ к этим серверам. В результате он скачал более 190 Гб фотографий, записи текстовых диалогов между родителями и детьми, а также голосовые записи и учетные данные. Неизвестно, как хакер распорядился своей добычей, но часть ее он передал журналистам, выразив негодование тем, что смог так просто получить доступ к данным. Но самое печальное, что уязвимость до сих пор не закрыта. Но зато компания обновила лицензионное соглашение. Теперь пользователи должны согласиться с тем, что информация, которая будет пересылаться через сайт компании или скачанное с него ПО, может быть перехвачена третьими лицами. Прекрасное решение, не так ли?

Capture

В том же ноябре внимание независимых экспертов привлекла игрушка Hello Barbie — интерактивная кукла, умеющая слушать ребенка и отвечать ему (при помощи технологии, аналогичной Siri от Apple). Оказывается, опытному хакеру несложно добраться до системной информации куклы, получить данные учетной записи, записанные аудиофайлы и даже контроль над встроенным микрофоном.

Через некоторое время другие исследователи проанализировали еще одну игрушку — медвежонка Smart Toy Bear, выпускаемого под брендом Fisher Price. Выяснилось, что в приложении для дистанционной связи с медведем имеются уязвимости, которые позволяют хакеру узнать имя ребенка, дату его рождения и другую персональную информацию. Производители немедленно устранили уязвимость, но сам факт ее существования — лишнее подтверждение того, что «игрушечные» компании не имеют достаточно опыта для создания «информационно безопасных» гаджетов.

Что делать?

Мы ни в коем случае не призываем отказываться от подключаемых к Интернету игрушек. Даже, наоборот, считаем, что детей не нужно ограждать от новых технологий. Однако при этом мы рекомендуем соблюдать ряд рекомендаций.

  • Покупая игрушку, имеющую доступ к Интернету, внимательно изучите, какие данные собирает ее производитель. Вероятно, кукле или машинке совсем ни к чему передавать GPS-координаты, данные с видеокамеры, а также другую конфиденциальную информацию.
  • Изучите, как передаваемые данные будут использоваться. Одно дело, если они хранятся на серверах и применяются для «самообучения» игрушки или для последующего просмотра вами. Но у некоторых производителей прямо в лицензионном соглашении написано, что данные передаются третьей стороне, для неких «улучшений технологии». Улучшения — это прекрасно, но чем шире круг лиц, имеющих доступ к данным, тем больше вероятность их утечки.
  • Регистрируясь в каком-либо онлайновом сервисе, не делитесь реальными данными своих детей. В лучшем случае эти данные будут использованы для создания целевой рекламы, в худшем — достанутся хакерам.
  • При регистрации заполняйте как можно меньше полей в анкете. Помните, что «необязательные» поля заполнять необязательно.

И главное — при выборе гаджета почитайте, что пишут о нем в Интернете. Не было ли связанных с этой игрушкой (или с другими устройствами от этого производителя) киберинцидентов. И если были, узнайте, как компания на эти инциденты отреагировала. От наличия уязвимостей не застрахован никто, их находят и в программах серьезных IT-компаний. Но если производители подходят к вопросу защиты информации серьезно, то все уязвимости оперативно закрываются.