23 września 2022

Inteligentne zabawki mogą być (cyber)niebezpieczne

Internet rzeczy (IoT) zmienia sposób, w jaki żyjemy i pracujemy. Od inteligentnych rozruszników serca, urządzeń śledzących naszą kondycję, po asystentów głosowych i inteligentne dzwonki do drzwi — ta technologia sprawia, że jesteśmy zdrowsi, bezpieczniejsi i bardziej produktywni. Jednocześnie została także wykorzystana do wprowadzenia na rynek nowych, efektownych zabawek dla dzieci.

Wedle szacunków globalny rynek inteligentnych zabawek do 2027 r. odnotuje dwucyfrowy wzrost, a jego wartość przekroczy 24 miliardy dolarów. Jak przypominają eksperci ESET, gdy w jednym miejscu spotykają się: łączność, dane i ich przetwarzanie, należy zawsze pamiętać o kwestiach prywatności i bezpieczeństwa. Jak pokazuje historia, inteligentne zabawki mogą być źródłem cyber-problemów, dlatego warto wybierać je w oparciu o analizę kluczowych aspektów szeroko rozumianego cyberbezpieczeństwa.

Choć tradycyjne zabawki nie odeszły, i najprawdopodobniej nigdy nie odejdą do lamusa, to obecnie do wspomagania rozwoju dzieci coraz częściej wykorzystujemy nowoczesne technologie. Jednym ze sposobów na to są inteligentne zabawki. Podobnie jak w przypadku każdego innego urządzenia bazującego na Internecie Rzeczy, również tu istotą działania jest wykorzystanie łączności, metod sztucznej inteligencji i dwukierunkowej komunikacji. Celem jest stworzenie urządzeń, wciągających i interaktywnych, które będą zapewniać responsywne wrażenia z korzystania z nich. Smart zabawki posiadają mikrofony i kamery oraz głośniki i wyświetlacze umożliwiające użytkownikom korzystanie z obrazów i dźwięków. Wyposażone są również w Bluetooth łączący zabawkę z dedykowaną jej aplikacją oraz interfejs do połączenia z routerem Wi-Fi. Inteligentne zabawki, dzięki technologii, pomagają najmłodszym wkraczać w rzeczywistość zupełnie odmienną, od tej, w której dorastała większość dorosłych obecnie ludzi.

Zabawki działające jako urządzenia Internetu Rzeczy mają moc angażowania. Dwustronna interakcja pomaga rozwijać się młodemu człowiekowi. Niestety rosnąca konkurencja powoduje, że będący pod presją rynku producenci mogą oszczędzać na zabezpieczeniach.

W rezultacie urządzenia Internetu Rzeczy nierzadko zawierają luki w oprogramowaniu, umożliwiając nieuprawiony dostęp do urządzenia i jego danych. Niektóre zabawki mogą wymagać przy uruchomieniu wprowadzenia poufnych danych, które niekoniecznie przechowywane są we właściwy, czyli bezpieczny sposób

Kamil Sadkowski,
starszy specjalista ds. cyberbezpieczeństwa w ESET

W przeszłości miało miejsce kilka niebezpiecznych zdarzeń, których negatywnymi bohaterami były właśnie inteligentne zabawki.

  • Miś „Fisher Price” zaprojektowany został dla dzieci w wieku od 3 do 8 lat jako „interaktywny, uczący się przyjaciel, który mówi, słucha i pamięta, co mówi Twoje dziecko, a nawet odpowiada, gdy się do niego mówi”. Luka w aplikacji na smartfona mogła umożliwić hakerom uzyskanie nieautoryzowanego dostępu do danych użytkownika.
  • „CloudPets” pozwalało rodzicom i ich dzieciom udostępniać wiadomości dźwiękowe za pomocą przytulanki. Jednak wewnętrzna baza danych służąca do przechowywania haseł, adresów e-mail i samych wiadomości była przechowywana w niewystarczająco zabezpieczonej chmurze, co spowodowało wyciek wrażliwych danych.
  • „My Friend Cayla” - lalka dla dzieci wyposażona w inteligentną technologię, umożliwiającą zadawanie pytań i otrzymywanie odpowiedzi poprzez wyszukiwanie w Internecie. Odkryto lukę w jej zabezpieczeniach, która mogła umożliwić hakerom szpiegowanie dzieci i rodziców. Doprowadziło to niemiecki organ nadzoru telekomunikacyjnego do wydania ostrzeżenia przed użytkowaniem lalki w związku z obawami o ochronę prywatności.

W 2019 roku firma konsultingowa NCC Group przeprowadziła badanie siedmiu inteligentnych zabawek. Efektem testu było wykrycie 20 problemów – z których dwa uznano za wysokiego ryzyka, a dla trzech ryzyko określono jako średnie. Typowe problemy, na jakie wskazano w badaniu to:

  • Brak szyfrowania podczas tworzenia konta i logowania
  • Słabe zasady dotyczące haseł, w efekcie użytkownicy mogli ustawiać proste, a tym samym łatwe do złamania dane logowania
  • Niejasne zasady ochrony prywatności
  • Parowanie urządzenia (np. z inną zabawką lub aplikacją) często odbywające się przez Bluetooth bez konieczności uwierzytelniania połączenia. W wyniku tego każda osoba będąca w zasięgu urządzeń była wstanie połączyć się z zabawką

Skutki potencjalnego włamania do urządzenia Internetu Rzeczy mogą być groźne. W przeszłości miał miejsce incydent polegający na przesyłaniu przez atakującego nieodpowiednich treści głosowych, które miały na celu wystraszyć rodziców dziecka

Kamil Sadkowski,
starszy specjalista ds. cyberbezpieczeństwa w ESET

Co więcej istnieje teoretyczna możliwość, że atakujący poprzez zabawkę z funkcjami dźwiękowymi włamie się do inteligentnych domów, wykorzystując polecenia dźwiękowe do systemu aktywowanego głosem np. „otwórz drzwi wejściowe”. Choć taki scenariusz wydaje się nieprawdopodobny, to trzeba mieć świadomość, że nie jest on z gatunku science fiction.

Jak złagodzić zagrożenia prywatności i bezpieczeństwa związane z inteligentnymi zabawkami?

Eksperci ds. cyberbezpieczeństwa przypominają o stosowaniu dobrych praktyk, które pozwolą przeciwdziałać potencjalnym zagrożeniom w obszarze bezpieczeństwa i prywatności związanym z używaniem inteligentnych zabawek.

  1. Przeprowadź analizę zabawki przed zakupem. Sprawdź, czy dany model został zweryfikowany przez niezależnych badaczy pod kątem bezpieczeństwa i ochrony danych.
  2. Zabezpiecz swój router. Pamiętaj, że to centralne dla Twojej domowej sieci urządzenie komunikuje się ze wszystkimi innymi, które w Twoim domu są podłączone do Internetu.
  3. Wyłącz, gdy nie używasz. Upewnij się, że nieużywane urządzenie jest wyłączone i nie połączone z Internetem.
  4. Sprawdź aktualizacje. Jeśli zabawka może pobierać nowe wersje oprogramowania, upewnij się, że działa w oparciu o najnowsze.
  5. Wybierz bezpieczną łączność. Upewnij się, że urządzenia używają uwierzytelniania podczas parowania przez Bluetooth i wykorzystują szyfrowaną komunikację z routerem domowym.
  6. Dowiedz się, gdzie zabawka przechowuje Twoje dane. Warto upewnić się, jaką reputację w zakresie bezpieczeństwa ma jej producent.
  7. Używaj silnych i unikalnych haseł podczas rejestracji nowego konta użytkownika.
  8. Zminimalizuj ilość udostępnianych danych. W przypadku ewentualnego wycieku pozwoli to ograniczyć straty.

Grzegorz Klocek
product manager ESET

Masz pytania?
Skontaktuj się ze mną:
klocek.g@dagma.pl
32 259 11 34