Кибермошенники научились использовать для преступных целей «умные игрушки». С помощью плюшевых мишек CloudPets, которые позволяют детям и родителям обмениваться голосовыми сообщениями, хакеры украли данные около 800 тысяч пользователей и смогли перехватить больше двух миллионов разговоров. Другие куклы, в том числе роботизированные устройства, могут использоваться как «жучки», а также позволяют преступникам напрямую связываться с детьми.
Распространение «умной» бытовой техники, связанной с гаджетами владельца, в первую очередь открыло новые возможности для киберпреступлений. Не избежали этой участи даже игрушки. Недавно в руки злоумышленников попали адреса электронной почты и пароли пользователей плюшевых медведей линейки CloudPets от компании Spiral Toys. Игрушки позволяют детям обмениваться голосовыми сообщениями с родителями, в том числе когда последних нет дома. Передача информации идет по беспроводной связи – при подключении игровой системы к телефону или планшету с предустановленным фирменным приложением. Сжав лапку игрушки, ребенок передает голосовое сообщение, которое поступает на смартфон. Родители диктуют сообщение на телефон и отправляют игрушке. Когда послание приходит, у игрушки начинает мигать лампочка в виде сердца. Ребенок может нажать на мишку и прослушать ответы родных.
Через серверы компании ежедневно проходили тысячи сообщений владельцев умных мишек, коровок или свинок, причем записи хранились в облаке, на случай, если владелец игрушки пожелает повторно прослушать сообщения. При этом для доступа к данным не требовалась авторизация, а выявить их можно было при помощи сервиса, ориентированного на поиск устройств, подключенных к Сети. Информация в базе данных была зашифрована при помощи адаптивной криптографической функции формирования ключа bcrypt. Но большинство паролей пользователей оказались настолько простыми (например, «12345»), что злоумышленники взломали их без особого труда.
При этом представители компании Spiral Toys отрицают абсолютно все, начиная от взломов БД и заканчивая тем, что кто-то мог прослушать и похитить аудиозаписи пользователей, сообщает журнал xakep.ru.
Информацию о взломе баз данных компании-производителя «умных мишек» рассказал эксперт по информационной безопасности и основатель сайта Have I Been Pwned? Трой Хант (Troy Hunt).
После того как Трой Хант обнародовал свои изыскания, другие эксперты тоже заинтересовались игрушками CloudPets. Как оказалось, производитель плюшевых животных «забыл» защитить не только базу MongoDB, но и сами детские гаджеты. Сотрудник компании Context Пол Стоун (Paul Stone) изучил работу CloudPets и пришел к выводу, что перехватить контроль над игрушкой, заставив ее воспроизводить любые аудиопослания, может практически любой желающий. Для такого «взлома» нужно будет соблюсти всего два условия: нужно находиться на расстоянии 10-30 метров от игрушки и иметь при себе смартфон (также подойдет ноутбук или планшет).
Стоун выяснил, что CloudPets не используют даже стандартные защитные механизмы Bluetooth, к примеру, pairing encryption. Любой, кто находится в зоне досягаемости сигнала, может воспользоваться Bluetooth Web API, соединиться с игрушкой, передать на нее сообщение или обманом «перехватить» сообщение, записанное ребенком. Стоун пытался связаться с представителями Spiral Toys с октября прошлого года, чтобы сообщить о проблеме, однако так и не получил ответа от компании. Трой Хант, стоун и другие ИБ-эксперты пытались писать, звонить, перепробовали все социальные сети, где представлена компания, но так и не добились никакого эффекта.
Единственный комментарий представители Spiral Toys дали изданию NetworkWorld. В этом интервью глава компании Марк Майерс (Mark Myers) лично отрицает абсолютно все обвинения, начиная от взломов БД и требований выкупа и заканчивая тем, что кто-то мог прослушать и похитить аудиозаписи пользователей. Кроме того, Майерс заявил, что Spiral Toys не получала от исследователей ни единого предупреждения.
В прошлом месяце аналогичная история произошла с игрушками американского производителя Genesis Toys: говорящей куклой Кайла и роботом i-Que. Оба типа игрушек легко взламывались хакерами и могли использоваться в качестве «жучков». Также преступники могли через них разговаривать с чужими детьми. Последнее обстоятельство послужило поводом для запрета этих игрушек в Германии. Правительственное агентство запретило не только продажу Кайлы и i-Que в ФРГ, но и обязало владельцев уничтожить ранее купленные ими игрушки.
«Злоумышленник через ребенка может за вами шпионить... Подобные игрушки, подключенные, тоже потенциально могут использоваться даже для проведения DDoS-атак. И будущее, которое расписывают некоторые шутники – «скоро вас начнет атаковать ваша микроволновка» – вполне реализуемо. Педофилы, я думаю, 100% будут этой информацией пользоваться» – предположил в эфире радиостанции BFM.ru технический директор компании «Информзащита» Евгений Климов. По словам эксперта сейчас в мире насчитывается больше шести миллиардов «умных устройств», включая «умные часы» с GPS-модулями и фитнесс-браслеты. К 2020 году этих устройств станет минимум в 10 раз больше – до 60 миллиардов объектов.
Москва, Алексей Усов
Москва. Другие новости 01.03.17
Экономия по-грузински: республика отказывается от Су-25 в пользу беспилотников. / Компания «Туполев» создала первые макеты новейшего ракетоносца (ФОТО, ВИДЕО). / Системы залпового огня «Смерч» получат ракеты с беспилотниками. Первый образец готов и ждет заказчика. Читать дальше
© 2017, РИА «Новый День»