Что взламывали?
СloudPets
Виновником последней крупной утечки нынешнего года специалисты назвали детские игрушки СloudPets. Плюшевые медведи и коты от компании Spiral Toys выполняют роль своеобразного мессенджера: при помощи них дети могут передавать голосовые сообщения родителям и наоборот. Игрушки со встроенными микрофоном и динамиками подключаются по Bluetooth к смартфону, на котором уже стоит специальное бесплатное приложение. Когда ребёнок хочет передать что-то родителям, он просто нажимает на лапку медведя или кота, а затем начинает говорить. У мамы и папы на телефоне также должны быть установлены фирменные программы СloudPets, чтобы они могли получить сообщения от своих детей.
Проблема заключается в том, что записи абсолютно всех разговоров детей и родителей хранятся в аудиофайлах в базе данных MongoDB, которая находится в общедоступном сегменте Сети, не защищённая даже паролем. Там же можно спокойно найти не только аудиозаписи, но и личные данные о детях и родителях (всего более 800 тысяч учётных записей). Естественно, злоумышленники не заставили себя долго ждать и взломали никем не защищённую базу данных.
Нашедшие серьёзнейшую уязвимость “белые” хакеры несколько раз пытались связаться с компанией Spiral Toys, но разработчики не ответили. Интересно, что даже запросы журналистов из издания Motherboard были полностью проигнорированы.
My friend Cayla
Ещё один серьёзный случай, связанный с безопасностью детских игрушек, совсем недавно произошёл в Германии. Там сотрудники Федерального сетевого агентства сначала призвали родителей уничтожить умные куклы My Friend Cayla, а затем и вовсе запретили продавать игрушки на территории страны. Причин здесь несколько: во-первых, их признали незаконными устройствами для наблюдения, а во-вторых, эксперты безопасности обнаружили в куклах серьёзные уязвимости.
My Friend Cayla от компании Genesis Toys оснащается микрофоном, благодаря которому дети могут буквально общаться со своим интерактивным другом. Когда ребёнок задаёт Кайле простой вопрос, игрушка передаёт полученный аудиофайл на серверы производителя, а затем ищет ответ на вопрос в своей базе или в Сети. После этого кукла озвучивает найденную информацию ребёнку.
Разработчики не скрывают, что все записи могут передаваться третьим сторонам, в том числе рекламным агентствам. Мало того, эксперты обратили внимание, что игрушка практически не защищена от рук злоумышленников. Например, хакеры имеют возможность взломать интерактивную куклу, перехватить сделанные аудиозаписи ребёнка, а затем подменить ответы собственными. Так злоумышленники смогут узнать у ребёнка совершенно конфиденциальные данные, прикинувшись Кайлой.
Интересно, что производители опасного устройства не собираются извиняться перед потребителями. Наоборот, дистрибьютеры намерены оспорить решение немецкого регулятора в суде. Они заявляют, что Кайла не является шпионским устройством, а также что кукла может быть безопасно использована в любом отношении, если родители будут следовать инструкции.
Hello Barbie
Известная всем детям кукла Барби также удостоилась внимания экспертов IoT-безопасности. В конце 2015 года исследователи обнаружили, что интерактивная игрушка Hello Barbie от компании Mattel может стать отличным компаньоном для любого злоумышленника.
Работает кукла по принципу уже упомянутой My friend Cayla: она может вести более-менее осмысленный разговор с ребёнком при помощи встроенного микрофона и подключения к Интернету через смартфон. Все разговоры сохраняются в облаке в виде mp3-файлов, то есть они никак не зашифрованы.
Опасность заключается в том, что слежка за ребёнком происходит буквально каждую секунду: даже когда режим разговора отключён, игрушка всё равно будет слышать, что говорят дети. В пользовательском же соглашении говорится, что если разработчики заподозрят в разговоре ребёнка с Барби что-то подозрительное, то они уведомят об этом полицию. Таким образом, все разговоры доступны третьим сторонам.
Естественно, хакеры быстро нашли способ взломать опасное для детей и их родителей устройство. Например, исследователю безопасности Мэтью Якубовски удалось получить доступ к названию Wi-Fi-сети, к которой подключена Барби, и к её MAC-адресу. Затем эксперт выяснил ID аккаунта владельца игрушки и получил доступ к части mp3-файлов. Это значит, что злоумышленники смогут превратить интерактивную игрушку в шпионское устройство, которое будет записывать всё происходящее.
VTech
В ноябре 2015 года масштабному взлому подверглась база данных китайского производителя электронных детских игрушек VTech. Злоумышленники нашли брешь в фирменном магазине приложений, в результате чего им удалось “угнать” почти пять миллионов учётных записей, из которых около 227 тысяч принадлежали детям.
Среди украденных данных — имена пользователей, их домашние и email-адреса, даты рождения и секретные вопросы, которые запрашиваются при восстановлении пароля. Кроме того, в Сеть утекли 190 Гбайт фотографий, сообщения из мессенджера Kid Connect и аудиозаписи с гаджетов. Единственный позитивный момент заключается в том, что данные банковских карт всё-таки остались в секрете.
Разработчики признали факт взлома, извинились перед пострадавшими и пообещали усилить защиту инфраструктуры, однако, как говорится, неприятный осадочек остался.
Кто виноват?
Эксперты по киберзащите рассказали Лайфу, что на сегодняшний день никаких специальных стандартов безопасности “интернета вещей” для детей пока не существует. Поэтому вся ответственность за сохранность личной информации лежит только на плечах разработчиков девайсов.
— Есть так называемые хорошие практики, как это надо делать и как это надо защищать. Мы же знаем, что производители устройств “интернета вещей” очень часто пренебрегают даже какими-то элементарными требованиями по безопасности, отсюда и такие печальные результаты. В принципе, устройства “интернета вещей”, если отбросить внешние атрибуты, — это обычные компьютеры с операционной системой и каким-то программным обеспечением. И, как защищать всё это дело, в принципе, давно известно. Существуют и методы, и средства, и технологии — тут никаких загадок нет. Проблема “интернета вещей” не в том, что отсутствуют какие-то возможности, а в том, что отсутствует мотивация у производителей, — поведал Лайфу генеральный директор ИБ-компании Zecurion Алексей Раевский.
Такого же мнения придерживаются и специалисты “Лаборатории Касперского”. По словам руководителя российского исследовательского центра компании Юрия Наместникова, все известные на сегодняшний день взломы детских гаджетов происходят по вине разработчиков, которые просто не подумали о безопасности.
— Проблема в том, что производители игрушек вышли на новое поле. Но специалистов по безопасности у них в штате, грубо говоря, нет. И они просто не всегда понимают, к чему может привести такое халатное отношение к безопасности, — рассказал Лайфу Наместников.
Как защитить себя и своего ребёнка?
Сотрудники компании ESET выделили три основные опасности детских
IoT-устройств: взлом учётной записи пользователя, перехват данных по Bluetooth/Wi-Fi или же взлом сервера. В первых двух случаях защититься от злоумышленников не очень сложно: достаточно скрыть свою точку доступа от посторонних и не подключаться к публичным Wi-Fi-сетям. Кроме того, необходимо придумать надёжный пароль для учётной записи, который будет содержать в себе буквы разных регистров, цифры и специальные знаки (при этом ни в коем случае нельзя использовать имена, фамилии, даты и другие общедоступные данные).
Тем не менее от взлома сервера спастись уже не получится: вина за это будет лежать на плечах компании-разработчика.
— Увы, от этого риска пользователь не застрахован. Серверы ломают, в Сеть утекают базы данных даже крупных компаний. Чтобы минимизировать риски, стоит покупать устройства известных производителей (малоизвестные компании не всегда готовы вкладываться в надёжную защиту — если их взломают, им проще зарегистрировать новое юридическое лицо, чем спасать репутацию), — пояснил Лайфу менеджер по группе продуктов ESET Russia Сергей Кузнецов.
По мнению Алексея Раевского из Zecurion, лучшим методом для защиты ребёнка и родителей может стать борьба с безответственными производителями на законодательном уровне. Однако такой способ может занять уйму времени.
— От того момента, когда возникнет идея, до того, как это начнёт приносить какие-то реальные плоды, лет пять пройдёт в лучшем случае. Пока это всё придумают, пока обсудят, пока со всеми экспертами согласуют, со всеми ведомствами. Пока примут, пока разработают руководящие документы, пока применительная практика появится. Тем не менее, наверное, это единственный выход, потому что других стимулов заниматься защитой вот этих всех девайсов у производителей особо как-то не просматривается, — добавил Раевский.
Руководитель же российского исследовательского центра “Лаборатория Касперского” уверен, что с производителями опасных игрушек нужно не воевать, а аккуратно направить их на правильный путь.
— Надо обучать производителей и заставлять их исправлять ошибки. На персональных компьютерах это уже сделано, теперь это надо повторить на поле игрушек. Новая технология туда пришла, но все эти угрозы, которые мы уже все хорошо знаем, тоже пришли с возможностью подключения к Интернету. Но защиту к ним почему-то не прикрутили. Это тот случай, когда нужно просто доделать работу до конца хорошо. Тогда проблема будет локализована и у неё появится какое-то решение, — заявил Юрий Наместников.