Бытует мнение, что товары для детей безопаснее, чем для взрослых: созданная специально для самых маленьких бутилированная вода чище, а в правильном детском шоколаде меньше сахара. Эта убежденность автоматически переносится и на другие товары, в том числе из сферы электронных устройств и программного обеспечения, — и вот тут неприятные сюрпризы не просто возможны, а очень даже вероятны.
Заранее оценить информационную безопасность игрушки или онлайн-сервиса для детей можно лишь по косвенным признакам. Доподлинно же о плохой защите становится известно после новостей об очередной утечке пользовательских данных, когда уже, в общем, поздно что-либо предпринимать.
Кроме попадания в чужие руки личных сведений детей современные игрушки таят и другие угрозы, усиливаемые нежным возрастом пользователей: от навязчивой рекламы до общения с ребенком посторонних лиц.
Взглянув на пару свежих примеров, можно понять, с какой стороны ждать сюрпризов от «умных» игрушек.
Болтливая игрушка для шпиона
В декабре 2016 года правозащитники направили жалобу в Федеральную торговую комиссию США на компанию Genesis Toys, выпускающую кукол Cayla и роботов i-Que. Также в жалобе фигурирует компания Nuance Communications — с помощью ее технологии распознавания речи игрушки Genesis Toys могут поддерживать беседу с ребенком.
Свое отношение к продукции правозащитники ясно выразили в первом же предложении: «Эта жалоба касается игрушек, которые шпионят».
Посмотрим по пунктам, в чем суть претензий.
- Мобильное приложение, в паре с которым работают куклы Cayla, требует разрешение на доступ к файлам устройства, а приложение для i-Que — к камере гаджета. Производитель не разъясняет, зачем приложениям эти разрешения: камера, к примеру, не упоминается ни на официальном сайте производителя, ни в демонстрационном видео приложения.
- К смартфону или планшету игрушки подключаются по Bluetooth, но защита соединения не предусмотрена, пароль не требуется. Кроме того, игрушка не оповещает хозяев о произведенном подключении. В результате злоумышленник легко может не только осуществлять прослушку, но и (что, пожалуй, еще более неприятно) говорить с ребенком! Игрушка выступает, по сути, в роли обыкновенной беспроводной гарнитуры.
- Игрушки невозбранно промышляют скрытой рекламой, вставляя в беседах с малышами названия «детских» брендов.
- Приложение для куклы Cayla предлагает детям указать личную информацию: имена родителей, место жительства, название школы и так далее.
- Приложения отправляют запись разговора ребенка на серверы Nuance Communications, где слова не только распознаются для формирования ответа на основе интернет-источников, но и сохраняются и используются для улучшения сервисов Nuance Communications.
- Производители недостаточно ясно сообщают потребителям о собираемых данных детей.
«Шпионские способности» игрушек Genesis Toys стали поводом для регулирующих органов Германии запретить их продажи. Владельцам злосчастных игрушек было рекомендовано избавиться от них. Власти страны относят такие устройства к средствам скрытого сбора информации, которые запрещены к распространению по закону.
Обеспокоенность угрозой приватности со стороны кукол Cayla и роботов i-Que в декабре 2016 года выразил и Совет по защите прав потребителей Норвегии.
В противовес британская ассоциация продавцов игрушек заверила телерадиокорпорацию BBC, что Cayla «не представляет особой угрозы».
Детский лепет информационной безопасности
Для еще одного инцидента, тоже по совпадению связанного с общением детей, «утечка» — слишком слабая метафора. Это просто катастрофический прорыв плотины, после которого персональные данные хлынули потоком. Впрочем, если разобраться, не было никакой плотины.
Мягкие игрушки, выпускаемые компанией Spiral Toys под брендом CloudPets, позволяют обмениваться голосовыми сообщениями: ребенок отправляет и получает их через игрушку, подключаемую к смартфону по Bluetooth, а родители используют для связи мобильное приложение на своих гаджетах.
Замечательный способ поддерживать контакт с малышом на расстоянии, только вот сокровенный контент, накапливаемый системой, не был обеспечен соответствующими мерами безопасности.
В первую очередь никак не защищалась база данных учетных записей пользователей. Любой желающий мог без всякого пароля подключиться к серверу, просмотреть все данные или вовсе скопировать базу целиком на свой компьютер.
Об этом узнал энтузиаст ИТ-безопасности Виктор Геверс (Victor Gevers) и уведомил компанию Spiral Toys 31 декабря 2016 года (запомним эту дату). Впоследствии о беззащитности данных CloudPets узнал еще один специалист — Трой Хант (Troy Hunt). Он получил от неизвестного файл с записями таблицы базы данных, содержащий полмиллиона учетных записей CloudPets.
Каждая учетная запись содержит кроме имени ребенка день и месяц его рождения, а также информацию о родственниках, с которыми маленький пользователь общается через игрушку. Общее количество скомпрометированных учетных записей CloudPets превысило 800 тысяч.
Как покупка игрушек может обернуться потерей конфиденциальных данных для всех членов семьи: https://t.co/z9B6F4Ys9Z pic.twitter.com/buewQp3syY
— Kaspersky (@Kaspersky_ru) December 3, 2015
В отличие от прочих сведений, пароли пользователей хранились в базе не в открытом виде, а в форме хэша. Хэш — это результат однонаправленного преобразования данных. Вычислить хэш по паролю легко, а вот узнать пароль по хэшу можно только перебором. Однако если пароль простой (вроде «12345»), часто используемый или представляет собой слово, которое есть в словарях, то подобрать его относительно несложно. Как показали многочисленные утечки баз данных, для пользователей бесхитростные пароли, увы, обычное дело.
Зная пароль, можно штатными средствами скачать все голосовые сообщения, переданные через игрушку. Но и без пароля можно получить записи внутрисемейных переговоров. Как выяснилось, они вместе с пользовательскими изображениями находятся на серверах облачного хранилища Amazon S3… и тоже без какой-либо защиты. Достаточно было взять из «утекшей» базы ссылку на запись и получить по ней звуковой файл с сервера Amazon S3. Общее количество доступных голосовых сообщений клиентов CloudPets превысило 2 млн.
Плохо, что кроме порядочных специалистов об этом узнали и менее щепетильные люди. Сервер с данными детей превратился в проходной двор: сначала на месте базы появилось одно требование о выкупе, затем его сменило другое, потом третье… База была удалена, но, надо полагать, ее копию кое-кто мог и приберечь.
Отдельного упоминания заслуживает реакция Spiral Toys, точнее, отсутствие таковой: безуспешно достучаться до компании разными путями пытались Геверс, Хант, человек, проинформировавший Ханта, а также журналист Лоренцо Франчески-Биккераи (Lorenzo Franceschi-Bicchierai).
В марте за разъяснениями утечки и политики компании в отношении персональных данных к руководству Spiral Toys обратился Сенат США. Текст запроса опубликовал Трой Хант.
Из других крупных утечек стоит упомянуть взлом базы официального сайта владельцев игрушек Hello Kitty (скомпрометированы 3,3 млн учетных записей) и онлайн-магазина производителя игрушек VTech (5,5 млн учетных записей и множество фотографий детей). Оба инцидента произошли в 2015 году.
Огонь просто! Hello Kitty ломанули: 3,3 миллиона аккаунтов скомпрометированы: https://t.co/brxieR34h8 pic.twitter.com/eZyFEJTCmr
— Kaspersky (@Kaspersky_ru) December 22, 2015
Источник повышенной опасности
Разработчиками сервиса CloudPets и сайта владельцев Hello Kitty использовалась система управления базами данных MongoDB, которая долгое время не сходила с передовиц изданий о кибербезопасности, после того как хакеры скомпрометировали (читай: получили полный доступ) десятки тысяч баз. В духе времени злоумышленники требовали у владельцев баз данных выкуп за их восстановление.
Впрочем, самих владельцев «угнанных» баз невинными жертвами не назовешь. Приведем аналогию. По правилам дорожного движения водитель обязан принимать меры, исключающие использование транспортного средства посторонними: глушить двигатель, запирать окна и двери. Тем более если — продолжим аналогию — в автомобиле лежат чужие вещи!
Вина же создателей MongoDB состоит в том, что они позволили владельцам автомобилей вовсе отказаться от охранной сигнализации и замков. По умолчанию сервер MongoDB не требовал пароля для доступа, и создатели системы эту идиллию не нарушали. Знаете, все эти закрытые и открытые порты, политики паролей, шифрование… А ведь и без этого все работает, игрушки продаются, пользователи довольны.
И дело, конечно, не в MongoDB, а в общем состоянии инфобезопасности. Усилия госрегуляторов, правозащитников, экспертов просто не поспевают за бумом умных гаджетов на фоне превращения персональных данных в разменную монету.
К слову, после MongoDB хакеры взялись за массовые атаки на другие распространенные системы управления базами данных. Любую незащищенную базу данных в Интернете рано или поздно найдут. И уберечься от этого рядовому пользователю, доверившему свои данные, никакой возможности нет.
Все не так страшно?
Для объективности приведем без комментариев позицию Spiral Toys относительно утечки. Письмо компании в адрес генпрокурора Калифорнии опубликовал ресурс DataBreaches.net. Итак, об инциденте компания узнала 22 февраля от журналиста Франчески-Биккераи, которому о нем рассказал неизвестный доброжелатель.
Утечка стала частью массированной атаки на базы MongoDB по всему Интернету. Голосовые сообщения и картинки не были затронуты, поскольку находились на другом сервере. Скомпрометирована оказалась не рабочая, а вспомогательная база, используемая для разработки. Ни специалисты по информационной безопасности с предупреждениями об утечке, ни хакеры с требованием выкупа за базу к Spiral Toys не обращались.
Для пользователей был опубликован FAQ с теми же тезисами и советами для родителей по выбору паролей.
Один из ответов компании частично процитируем:
- Почему об утечке стало известно так поздно?
- Хотя некоторые исследователи в области безопасности пытались связаться с нами до 22 февраля, мы не получали эти сообщения. Мы разбираемся, как это могло произойти.
Родителям на заметку
Вручая своему чаду современную электронную игрушку, стоит насторожиться в следующих случаях.
- Если игрушка передает данные в Интернет.
Сюда попадают многие мобильные приложения, но теперь тренд распространяется и на игрушки в традиционном обличье зайчиков и котят. - Если вы не можете контролировать действия игрушки.
На кукле Cayla хотя бы мигает огонек в кулоне при активированном микрофоне. А мобильные приложения непонятно даже когда стартуют. Как показало исследование «Лаборатории Касперского», 96% приложений начинают работать (в фоновом режиме), несмотря на то что пользователь их не запускает. - Если игрушка оснащена микрофоном и камерой.
Сюда кроме продвинутых мишек и роботов попадают мобильные приложения, имеющие соответствующие разрешения. - Если игрушка выведывает у ребенка личную информацию.
- Если «умную» игрушку слишком легко настраивать: например, подключение Bluetooth не требует аутентификации.
Все эти «симптомы» дают повод взглянуть на весы, на одной чаше которых лежит польза и удовольствие от игрушки, на другой — неприкосновенность частной жизни вашего ребенка.