Zabawki dla dzieci stwarzają poważny problem z prywatnością

Biorąc pod uwagę przepisy dotyczące ochrony prywatności, można pomyśleć, że urządzenia elektroniczne — a zwłaszcza zabawki dla dzieci, które mogą łączyć się z internetem — są lepiej zabezpieczone. Prywatność dzieci należy traktować jak świętość, gdyż są one szczególnie podatne na wpływy reklam, marketingu i ogólnie różnych sugestii.

Każda nowa informacja o wycieku danych umacnia nas w przekonaniu, że nie można ufać producentom, jeśli chodzi o bezpieczeństwo nasze ani naszych dzieci. Przeanalizujmy kilka przykładów, aby sprawdzić, jakie przykre niespodzianki mogą nieść ze sobą inteligentne zabawki.

Szpiegowanie

W grudniu 2016 roku obrońcy prywatności złożyli skargę do Federalnej Komisji Handlu USA w sprawie Genesis Toys — producenta lalek Cayla i robotów i-Que. Następnie pozwano firmę Nuance Communications odpowiadającą za technologię rozpoznawania mowy, która umożliwia komunikowanie się zabawek z dziećmi.

Powód pozwania był od początku wiadomy: „Niniejsza skarga dotyczy zabawek, które szpiegują„.

Sprawdźmy zasadność tej skargi:

• Aplikacja, której lalki Cayla używają do interakcji, wymaga dostępu do plików przechowywanych na urządzeniu, a aplikacja robotów i-Que wymaga dostępu do kamery urządzenia. Producent nie wyjaśnił, dlaczego aplikacje żądają tych uprawnień. Co więcej, wymaganie związane z dostępem do kamery nie jest wymienione ani na oficjalnej stronie, ani w filmie z prezentacją.
• Aby połączyć się ze smartfonem lub tabletem, zabawki wykorzystują Bluetooth, czyli niechronione połączenie, które nie wymaga autoryzacji. Ponadto zabawki nie informują w żaden sposób użytkownika, gdy łączą się z urządzeniem. Ta luka w bezpieczeństwie może umożliwić osobie obcej nie tylko podsłuchiwanie dziecka, ale także mówienie do niego.
• Zabawki reklamują inne marki, wspominając je podczas rozmowy.
• Aplikacja dla lalki Cayla pyta dzieci o informacje, które umożliwiają identyfikację: imiona rodziców, miejsce zamieszkania, szkołę itp.
• Obie aplikacje wysyłają nagrania rozmów na serwery firmy Nuance Communication, gdzie są analizowane na potrzeby dopracowywania odpowiedzi. Nagrania są przechowywane na serwerach również w celu ulepszania działania usługi.
• Producenci nie wyjaśniają dostatecznie, jakie dane gromadzą o dzieciach.

Możliwości szpiegujące zabawek firmy Genesis Toys skłoniły niemieckie organy regulujące do wydania całkowitego zakazału ich sprzedaży. Właścicieli tych zabawek proszono o to, aby się ich pozbyli. Niemiecki rząd klasyfikuje takie zabawki jako urządzenia do potajemnej inwigilacji, które są przez prawo zakazane.

W grudniu 2016 roku Rada ds. Ochrony Konsumentów w Norwegii także wyraziła swoje obawy w związku z szanowaniem prywatności przez lalki Cayla i roboty i-Que.

Z drugiej strony Brytyjskie Stowarzyszenie Producentów Zabawek oświadczyło w wywiadzie dla stacji BBC, że lalki Cayla „nie stwarzają szczególnego zagrożenia”.

Brak zabezpieczeń

W innym incydencie związanym z bezpieczeństwem słowo „wyciek” nawet nie jest bliskie oddania skali wydarzenia. Była to katastrofalny wyłom w zaporach, który spowodował powódź, a nawet potop danych osobowych. A ujmując sprawę dokładniej: zapór tych nie było wcale.

CloudPets to pluszowe zwierzątka firmy Spiral Toys, które umożliwiają wymianę wiadomości między dziećmi i rodzicami. Zabawka łączy się ze smartfonem poprzez Bluetooth, a na urządzeniu należy zainstalować specjalną aplikację.

Być może jest to całkiem niezły sposób na pozostanie z dzieckiem w kontakcie, jednak treści gromadzone przez system nie są właściwie zabezpieczone. Co więcej, baza zawierająca dane logowania użytkowników nie była chroniona wcale: każda osoba mogła połączyć się z serwerem bez uwierzytelniania i uzyskać dostęp do tych danych, a także skopiować je i przechowywać na innym komputerze.

Problem ten zauważył badacz bezpieczeństwa Victor Gevers i poinformował o nim producenta 31 grudnia 2016 roku. Wówczas Troy Hunt, znany ekspert ds. bezpieczeństwa, otrzymał z anonimowego źródła plik zawierający ponad pół miliona rekordów użytkowników CloudPets. Oprócz imion dzieci w każdym rekordzie znajdowała się ich data urodzenia i informacje o krewnych, z którymi rozmawiały poprzez zabawkę. Liczba zhakowanych rekordów użytkowników CloudPets wyniosła ponad 800 tysięcy.

Osoba, która uzyska hasło, będzie mogła pobrać wszystkie wiadomości wysłane przez zabawkę. Odmiennie niż w przypadku innych danych, hasła użytkowników były zahaszowane w celu ochrony. Haszowanie zapewnia pewien stopień ochrony haseł, jednak nie przed atakami siłowymi (szczególnie w przypadku słabszych haseł).

Niestety możliwe jest także podsłuchiwanie konwersacji bez konieczności posiadania hasła. Jak się okazało, nagrania z wiadomościami i obrazy były przechowywane w chmurze na internetowym nośniku danych, Amazon S3. Aby pobrać plik dźwiękowy z serwera, atakujący musiał tylko kliknąć łącze ze zhakowanej bazy danych. Dostępnych nagrań było ponad 2 miliony.

Oczywiście o tych lukach w zabezpieczeniach nie dowiedziały się tylko białe kapelusze. Na serwerze przechowującym dane dzieci zrobił się bałagan, a kopie danych zostały usunięte i pojawiły się żądania okupu. Ostatecznie bazę danych usunięto, choć mogą istnieć jakieś jej kopie.

Firma Spiral Toys nie odpowiadała ludziom, którzy ją powiadamiali o problemie, w tym Geversowi, Huntowi, jemu informatorowi, a także reporterowi Lorenzo Franceschi-Bicchierai. Następnie w marcu 2017 roku Senat Stanów Zjednoczonych zażądał od Spiral Toys wyjaśnień na temat wycieku danych i stosowanej polityki ochrony danych. Tekst tego wniosku został opublikował Troy Hunt.

Spiral Toys wreszcie zabrał głos w tej sprawie — odpowiedział prokuratorowi generalnemu w Kalifornii. Serwis DataBreaches.net opublikował tę odpowiedź. Firma przyznała, że dowiedziała się o incydencie 22 lutego od Franceschi-Bicchierai, który z kolei otrzymał informację o wycieku od nieznanej sobie osobie. Chociaż wielu badaczy bezpieczeństwa próbowało się skontaktować z firmą przed 22 lutego, Spiral Toys twierdziło, że nigdy nie otrzymało takich wiadomości i badało sprawę.

Wyciek, jak wskazała firma Spiral Toys, był częścią masowego ataku na instalacje systemu MongoDB w całym internecie. Według firmy atak nie dotknął wiadomości głosowych i zdjęć, ponieważ były one przechowywane na innym serwerze. Tymczasem zhakowana baza danych była tymczasową, używaną przez programistów.

Spiral Toys opublikowało także FAQ dla użytkowników, w którym umieszczono powyższe informacje oraz wymagania związane z nowymi, silniejszymi hasłami.

Otwarte bazy danych

Inny znaczny wyciek dotyczył bazy należącej do oficjalnej strony firmy związanej za zabawkami Hello Kitty (zhakowano wtedy 3 300 000 rekordów użytkowników) oraz bazy danych sklepu internetowego VTech (zhakowano 5 500 000 rekordów użytkowników i ogromną liczbę zdjęć dzieci). Oba incydenty miały miejsce w 2015 roku.

Serwis CloudPets i programiści strony Hello Kitty używali rozwiązania do zarządzania bazami MongoDB, który trafił na pierwsze strony mediów po tym, jak hakerzy zaatakowali (a precyzyjniej: całkowicie przejęli serwery) dziesiątki tysięcy baz danych.

Właściciele przejętych baz mogą być w całej sytuacji ofiarami, ale nie są bez winy. Nie narzucając wymogu autoryzacji, MongoDB pozostawił drzwi do bazy otwarte. Z kolei producenci także pokazali swój stosunek do bezpieczeństwa, wykorzystując otwarte bazy.

Oczywiście MongoDB nie jest jedynym problemem — poprawy wymaga ogólny stan bezpieczeństwa. Wszystkie działania podejmowane przez organy regulacyjne, zwolenników prywatności i ekspertów ds. bezpieczeństwa zwyczajnie nie nadążają za adopcją nowych technologii i trendem zmniejszania wartości danych przez użytkowników.

Po zhakowaniu MongoDB hakerzy rozpoczęli masowy atak na rozproszone systemy zarządzania bazami danych. Każda nieodpowiednio zabezpieczona baza zostanie kiedyś udostępniona publicznie, a zwykły użytkownik nie będzie mógł z tym nic zrobić. Nie jest żadnym pocieszeniem, że wyciek dotyczył tylko tymczasowej, pomocniczej bazy danych, skoro dane były prawdziwe. Zamknięcie zhakowanego systemu nie sprawi w sposób magiczny, że dane osobowe znów staną się prywatne.

Porady dla rodziców

Oferując dziecku zabawkę elektroniczną, zachowaj rozwagę. Zwłaszcza zwróć uwagę na następujące aspekty:

• Czy zabawka wysyła dane do internetu? Wiele zabawek tak robi, a trend ten zaczyna obejmować nawet najzwyklejsze pluszaki.
• Czy możesz kontrolować działania zabawki? Lalki Cayla mają wskaźnik informujący o włączeniu mikrofonu. Jeśli zaś chodzi o aplikacje mobilne, możesz nawet nie mieć pojęcia o ich działaniu. Firma Kaspersky Lab wykryła, że 96% aplikacji uruchamia się w tle, nawet jeśli użytkownik ich nie uruchomił.
• Czy zabawka jest wyposażona w mikrofon i aparat? To dotyczy nie tylko zaawansowanych misiów i robotów — w tej kategorii znajdują się również aplikacje mobilne z odpowiednimi uprawnieniami.
• Czy zabawka zbiera od dziecka informacje osobowe?
• Czy ustawienia są zbyt prymitywne? Na przykład połączenie Bluetooth nie wymaga autoryzacji.

Jeśli zaniepokoił Cię choćby jeden z powyższych punktów, zastanów się nad granicą pomiędzy zabawą a prywatnością dziecka.