Проблеми безпеки Барбі та споживачів IoT

Барбі з підтримкою wi-fi оголошено минулого року

У 2015 році Mattel оголосив про цифрове оновлення однієї з найпопулярніших іграшок, які коли-небудь бачив світ: нової ляльки Барбари Міллісент Роджерс, широко відомої як Барбі!

За понад 55 років з моменту первісного появи Барбі, приблизно за 1 мільярд ляльок Барбі було продано у понад 150 країнах.

Незважаючи на те, що протягом останніх десятиліть також продавалися «Говорячі ляльки Барбі», Mattel минулого року оголосив, що ця остання Барбі зможе взаємодіяти зі словами дитини за допомогою вбудованого мікрофона та динаміка. Найголовніше, що вимовлені слова дитини, записані мікрофоном, будуть надсилатися до хмарних систем баз даних, де вони можуть бути проаналізовані та використані для налаштування голосових відповідей Барбі на слова дитини.

Потім батьки могли зайти на веб-сайт Mattel, щоб вибрати, які теми обговорення дозволено, створювати та зберігати аудіофайли розмов між дитиною та Барбі та інші цікаві можливості, і все це для дуже популярної дитячої іграшки.

Все це звучить досить акуратно та неймовірно споживче застосування функціональних можливостей IoT, але уявіть потенційні наслідки для безпеки та конфіденційності! У нас є багато дорослих споживачів, які не до кінця розуміють вплив порушень безпеки. Зараз ми очікуємо, що діти початкового шкільного віку (або молодші) матимуть справу з наслідками порушення безпеки. Це може заперечити одну передумову впровадження безпеки: можливість виявлення порушень. Звичайно, від дітей не можна чекати їх впізнання!

Не перша іграшка з проблемами безпеки iot

У попередньої підключеної до Інтернету ляльки «Cayla» від Vivid Toys була легко продемонстрована слабкість безпеки. Реалізація Bluetooth в ляльці практично не мала ніякого захисту, і Кейла легко можна було використовувати для виверження слів, які жоден малюк ніколи не повинен почути.

“Яскраві іграшки” заявляли, що жодних порушень безпеки не відбулося у сотнях тисяч відвантажених ляльок “Кейла”, але занепокоєння залишається. Оновлення захисту від Vivid Toys недостатньо для запобігання виникненню проблеми – експерти з безпеки легко показали, що відмова від виступу зі списку “неприйнятних” слів не є життєздатним рішенням.

Можна стверджувати, що використання Bluetooth у Cayla обмежує потенціал порушення безпеки, оскільки він досить короткий (хоча інформація надсилається в Інтернет для аналізу та відповідей). Однак нова Барбі використовує Wi-Fi для зв’язку з хмарними серверами Mattel, керованими її веб-сайтом, – через домашнє підключення власника іграшки до Інтернету! Слова, промовлені дитиною, надсилаються на сервери і використовуються для налаштування голосової відповіді – Барбі «говорить» дитині слова відповіді.

Батьки повинні впізнати себе, увійшовши на веб-сайт Mattel, щоб керувати інформацією про своїх дітей та іншими засобами контролю. І ми знаємо, наскільки це може бути безпечно, правда? Якщо хакери увірваються в систему Mattel або батьки використовують слабкі паролі, записи дитини можуть бути легко піддані світові – жодна система не є абсолютно захищеною від атак, що встановлюються. Ці записані розмови можуть містити занадто багато інформації про дитину.

Складність полягає в тому, що компанії – навіть великі корпорації – здається, не розуміють наслідків та проблем безпеки та не впроваджують рішення безпеки у своїх продуктах, пов’язаних з IoT. Для них це новий досвід – питання розробки продукції, зниження собівартості, технологічності, простоти доступу тощо є більш важливими нагальними питаннями.

Коли реалізується безпека, це, як правило, замислюється – можливо, після того, як відбувається або демонструється порушення безпеки, а не свідомі попередні спроби проектувати.

На жаль, це не єдиний випадок, коли споживчий продукт з підтримкою Інтернету піддає маленьких дітей порушенням, які можуть завдати шкоди дитині – не лише проблемам конфіденційності.

Безпека моніторів для немовлят, підключених до інтернету

Кілька років тому повідомлялося про випадки, коли люди отримували доступ до няньок із підтримкою Wi-Fi із двосторонніми аудіо- та відеосистемами. Люди, які користувались моніторами, мали змогу бачити дітей та їх батьків, спілкуватися з ними та розмовляти з дітьми!

Найбільше занепокоєння викликали особи, які застосовували ненормативну лексику щодо немовлят та дітей раннього віку. Хтось чітко проглядав дитячі кімнати – у деяких випадках вони зверталися до дітей по імені, оскільки ім’я дитини було надруковано на стіні її спальні. Відеокамера була по суті відкритою для доступу.

Ці питання висвітлюють стурбованість, яку потрібно швидко вирішити, перш ніж порушення призведуть до небезпечних наслідків. Компанії, які тільки проникають на ринки IoT, особливо з продуктами для дітей, повинні подбати з особливою обережністю, щоб порушення безпеки не призвели до втрати конфіденційності. Або, що ще гірше, питання безпеки для споживача або його дітей.

Впровадження системи безпеки для споживчих товарів IoT повинно бути частиною процесу проектування, з свідомим аналізом наслідків порушень безпеки, з відповідними рішеннями для забезпечення загальної громадської безпеки та розумної конфіденційності споживачів. Це набагато важливіше для дітей, ніж для дорослих!

Спочатку ця публікація була опублікована за адресою https://www.linkedin.com/pulse/talking-barbie-consumer-iot-security-concerns-syed-zaeem-hosain/.

Syed Zaeem Hosain люб’язно дозволив нам перекласти і опублікувати цю статтю.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: