Хакеры в детской
Многие модели цифровых игрушек можно подключить к Интернету. Но очень жаль, что поставщики не уделяют должного внимания защите данных, открывая хакерам лазейку во владения малышей.
Кукла Барби, которая подслушивает разговоры ребенка и сохраняет их в Интернете, производитель детских компьютеров, размещающий фотографии профиля и адреса детей и их родителей на своих серверах, и даже видеоняня, отправляющая картинку с детской кроваткой в Сеть, — цифровые устройства, подключаемые к Интернету, уже довольно давно захватили детскую комнату. И все чаще обнаруживается, что производители такого рода онлайн-игрушек недостаточно серьезно относятся к вопросу безопасности данных.
Барби: интерактивная и уязвимая
Новая кукла называется Hello Barbie («Привет, Барби»). Эта Барби следует примеру Cortana и Siri: она подключается по беспроводной сети к Интернету и, будучи оснащенной микрофоном и динамиком, способна давать логически обоснованные ответы на вопросы ребенка, то есть вести вполне осмысленную беседу. Звук с микрофона передается через Wi-Fi в Интернет, и на серверах сторонней компании ToyTalk происходит обработка разговора. Затем кукла воспроизводит сгенерированный ответ, создавая эффект естественного общения.
Атаки злоумышленников вынуждают новую Барби использовать протокол шифрования SSL 3.0, в результате чего можно прослушать передаваемые голосовые данные
Команда Bluebox и другие специалисты в области безопасности открыли некоторые уязвимости, связанные с приложением Hello Barbie. Так, злоумышленники могут атаковать игрушки напрямую, например, подключать смартфоны к беспроводной сети, которая содержит в названии слово «Barbie», а в худшем случае кукла способна превратиться даже в микрофон, при помощи которого происходит прослушка всех разговоров ребенка. ToyTalk уже успела отреагировать на эти обвинения, выступив с заявлением, что системы сами по себе безопасны и защищены — например, шифрованием. Тем не менее безопасность эта весьма условна. Как оказалось, серверы поставщика уязвимы перед так называемыми атаками POODLE. Такого рода атаки позволяют зло умышленникам расшифровать защищенный канал, используя более старый, а значит, и более уязвимый криптографический протокол (см. инфографику). Эта уязвимость была обнаружена еще в октябре 2014 года, и ToyTalk должна была с самого начала найти решение данного вопроса в структуре своей безопасности. Это не первый случай обнаружения проблемы в безопасности куклы, подключенной к Интернету. Еще в 2014 году специалисты нашли способ, как обойти систему безопасности куклы «Кайла». Она также обменивается данными с серверами в Сети — как выяснилось, эти сведения