«Умные» игрушки с подключением к интернету могут быть легко взломаны злоумышленниками — к такому выводу пришла группа экспертов по кибербезопасности. С помощью скомпрометированного плюшевого медведя хакер сможет обмениваться сообщениями с маленькими детьми, а значит – получит возможность манипулировать их сознанием.

Исследователи по кибербезопасности в очередной раз бьют тревогу — на этот раз в связи с «умными» игрушками, которые принадлежат к интернету вещей, а значит имеют WiFi- или Bluetooth-соединение.

Говорящие плюшевые звери стали популярным подарком для детей. Имея доступ к интернету и мобильному приложению, такая игрушка может воспроизводить записанный на диктофон текст, а также повторять слова за ребенком.

К сожалению, несмотря на то, что «умный» мишка или кролик являются полноценным высокотехнологичным гаджетом, зачастую компании-производители пренебрегают правилами информационной безопасности. Из-за этого игрушка становится идеальным объектом для взлома, подвергая риску как детей, так и их родителей.

Уже не игрушки

Ревью-портал Which? совместно с немецкой потребительской группой и экспертами по кибербезопасности нашли уязвимости в защите «умных» игрушек популярных брендов, которые позволяют подключиться к ним удаленно, а затем отправить сообщение ребенку или даже разговаривать с ним на постоянной основе.

Устройства с уязвимостями имеют незащищенное соединение, то есть злоумышленнику не нужен пароль, PIN-код или любой другой идентификатор, чтобы получить доступ к игрушке и начать обмениваться голосовыми сообщениями с ее владельцем. При этом исследователи подчеркивают, что для взлома не требуются специальные хакерские навыки, а лишь базовые технические знания.

Таким образом, совершенно незнакомый человек может подключиться к игрушке и начать разговаривать ее голосом с маленьким ребенком. Родители могут и не узнать о наличии такого «друга по интернету», который в свою очередь может внушить малышу любые мысли.

Мошенник может напугать ребенка, заставить его открыть дверь в квартиру или даже довести до преступления.

«Наше исследование показывает, что любой человек, желающий купить себе «умную» игрушку, должен соблюдать меры предосторожности. Безопасность должна быть в приоритете любого подобного устройства. Если это нельзя гарантировать, такой товар вообще не должен быть в продаже», — заявил Алекс Нил, управляющий директор продуктов и сервисов для дома компании Which?, которая проводила эксперимент.

Британская ассоциация игрушек и хобби, в которую входят крупные производители «умных» зверей, заявила, что ознакомилась с исследованием, но не видит особых причин для тревоги.

«Обстоятельства в эксперименте сложились настолько идеально, что подобный исход маловероятен в реальности», — заявил представитель ассоциации.

Руководитель отдела технического маркетинга ESET Russia Алексей Оськин в беседе с «Газетой.Ru» сообщил о том, что «умные» игрушки не представляют опасности, если соблюдать стандартные рекомендации: не подключаться к открытым сетям, использовать шифрование, а также установить сложный пароль на подключение к сети.

Эксперт добавил, что перехватить данные, передаваемые через Bluetooth, возможно, но для взлома необходимо находиться в радиусе действия игрушки — до ста метров при прямой видимости (при условии использования современного и дорогого устройства и минимизации факторов, влияющих на его работу), либо до 10-20 метров в зданиях.

«Рекомендуем приобретать устройства известных производителей – крупные компании инвестируют в продукты для безопасности и дорожат своей репутацией», — заключил собеседник «Газеты.Ru».

Чем умнее, тем опаснее

В марте 2017 года игрушки с подключением к интернету уже оказывались в центре скандала — плюшевых зверей CloudPets обвинили в незаконной записи конфиденциальных разговоров ребенка и его семьи. В результате база данных с аудио оказалась скомпрометирована хакерами, которые предположительно похитили около 800 тыс. файлов с информацией о владельцах игрушки.

Причиной инцидента стал тот факт, что производитель CloudPets не выставил никаких требований к сложности пароля, из-за чего большая часть кодовых слов была легко угадана злоумышленниками.

Кроме того выяснилось, что взломанная база данных в течение недели находилась в открытом доступе в интернете, но компания не уведомила об этом своих покупателей.

Даже в официальном промо-видео, рекламирующем «умную» игрушку, было рекомендовано использовать пароль «qwe», что объясняет такое большое количество пострадавших от хакерского взлома.

Тогда эксперты технологического портала Motherboard порекомендовали родителям не засматриваться на игрушки с подключением к интернету, а купить своим детям «старого доброго плюшевого медведя без доступа к сети».