Обновена на 24.07.2018 от Questo
В момента някои от най-големите търговци като Amazon и Walmart изтеглят от магазините си умните плюшени играчки CloudPets. Причината са проблеми със сигурността на играчките, позволяващи на трети лица да се свързват към тях и дори да прослушват звуковите съобщения, записани на тях.
Тези проблеми са известни още от началото на 2017 г., но сега бяха посочени отново като опасност от Electronic Frountier Foundation. Опасенията бяха публикувани в писмо, написано с помощта на хора от Mozilla. „CloudPets демонстрира потенциалните рискове, които произлизат дори от играчки с ограничена свързаност – се казва в писмото. – И което е по-важно, случаят показва как тези играчки са входна точка за компаниите, които искат да създадат потребителска база от деца за други дигитални продукти в бъдеще. Ето защо е толкова важно поверителността и сигурността на данните да са основен приоритет на производителите.“
CloudPets могат да се намерят и в някои български онлайн магазини на цена от около 30 лв. Какво всъщност представляват те и наистина ли са толкова опасни?
Това са пплюшени играчки с вграден микрофон и колонка. Те работят с мобилно приложение, което се инсталира на смартфона на родителите. Родителят може да запише звуково съобщение на телефона си и да го изпрати до играчката, така че детето да го чуе. Детето също има възможност да запише гласово съобщение, а родителят може да го чуе на смартфона си.
Основната уязвимост в CloudPets, изглежда, е тяхната Bluetooth свързаност. Според проучването на Mozilla тя позволява на хора в периметър между 10 и 30 метра от играчката да се свържат с нея, да записват и да прослушват аудио съобщения. „Тази уязвимост е известна от повече от година и в интернет могат да се намерят инструкции как да бъде експлоатирана. Въпреки това производителят на играчката не е имплементирал методи за автентификация, които биха решили проблема“, се казва в проучването.
С други думи, съществува опасност комшията ви или някой в непосредствена близост до вас да получи достъп до съобщенията, които се изпращат чрез плюшената играчка. Ето едно видео, което показва как външен човек може да излъчва фашистки лозунги през колонките на играчката.
През 2017 г. CloudPets станаха новина в сферата на информационната сигурност, след като се разбра, че MongoDB базата данни с потребители на играчките стои незащитена в интернет и едва ли не всеки може да я достъпи. От тогава този проблем е отстранен, но той продължава да се изтъква като уязвимост. Базата данни е съдържала потребителски имена, имейли и пароли в криптиран вид. Според експертът по киберсигурност Трой Хънт изтеклата от базата данни информация дори е използвана като форма на рекет в един момент (дайте ни пари или ше публикуваме данните в интернет).
Според Mozilla домейнът на CloudPets е податлив на фишинг атаки. Не съм сигурен какво точно имат предвид, тъй като посоченият домейн (mycloudpets.com/tour) дори не е активен към момента на публикуване на тази статия. Фишинг е практиката да се имитират логин портали на реални онлайн услуги, за да могат потребителите да въведат паролите си там и те да бъдат откраднати.
Независимо за колко реалистичен намирате риска от хакване на плюшеното мече на вашето дете (от компанията-производител Spiral Toys например твърдят, че риск реално няма), свързаните към интернет играчки следва да се третират с внимание. Същото важи за всички умни уреди в дома – от камери до климатични системи.