Inteligentne zabawki – fajny pomysł na prezent, ale i potencjalne cyberzagrożenie

„Internet Zabawek” stał się w ostatnich latach swego rodzaju podkategorią Internetu Rzeczy. Urządzenia przeznaczone dla dzieci i młodzieży, których funkcjonalność w znacznym stopniu została zwiększona dzięki podłączeniu do globalnej sieci, nie należą do najtańszych. Dlatego najczęściej kupowane są na Dzień Dziecka oraz na Gwiazdkę. Ich nabywcy często jednak nie są świadomi, że użytkowanie tego typu zabawek może być związane z charakterystycznymi dla środowisk IoT zagrożeniami.

Zdobyte przez ostatnich kilkanaście lat doświadczenie z urządzeniami Internetu Rzeczy nakazuje wyjątkową ostrożność w kwestiach związanych z bezpieczeństwem. Sprzęt ten połączony jest przez internet z centralnymi serwerami, na które przesyła zbierane dane i odbiera informacje potrzebne do poprawnego działania. Użytkownicy jednak rzadko mają możliwość ingerencji w ten proces, a producenci takich rozwiązań zazwyczaj nie traktują priorytetowo kwestii bezpieczeństwa i łatania ujawnionych luk, umożliwiających kradzież danych lub wykorzystanie takiego urządzenia do uzyskania dostępu do innego sprzętu w sieci.

Inteligentne zabawki są podatne na takie same zagrożenia. Niektóre z nich gromadzą i przechowują dane osobowe, takie jak imię, wiek, preferencje i zdjęcia dzieci. W przypadku ataku lub uzyskania nielegalnego dostępu do takiego sprzętu, informacje te mogą być wykorzystane w sposób niepożądany. Istnieje także ryzyko podsłuchiwania przez wbudowany mikrofon lub podglądania przez kamerę. Co więcej, jeżeli zabawka może być sterowana w sposób zdalny, atak hakerski może sprowadzić na dziecko nawet fizyczne niebezpieczeństwo.

Dlatego decydując się na kupno i użytkowanie podłączanego do sprzętu urządzenia należy znaleźć odpowiedzi na poniższe pytania, aby zminimalizować ryzyko przykrej niespodzianki:

• Jakie dane są gromadzone przez urządzenie i w jaki sposób są dalej przetwarzane?
• Czy zabawka i powiązane z nią aplikacje są zgodne z przepisami prawnymi dotyczącymi ochrony danych?
• Jakie uprawnienia dostępu są przyznawane zabawce i powiązanym z nią aplikacjom?
• Czy możliwe jest wyłączenie wbudowanych w urządzenie kamer lub mikrofonów?
• Czy możliwe jest włączanie i wyłączanie połączenia internetowego?
• Czy dostęp do gromadzonych przez urządzenie danych może być chroniony hasłem?
• Czy i przez jak długi czas producent deklaruje udostępnianie aktualizacji wbudowanego w zabawkę oprogramowania?

Nawet zaawansowanemu technologicznie użytkownikowi internetu może być trudno ocenić poziom bezpieczeństwa oprogramowania wbudowanego w inteligentną zabawkę oraz przesyłanych przez nią danych. Pomimo tego warto jeszcze przed decyzją o kupnie urządzenia spróbować poszukać w sieci informacji na jego temat. Być może bowiem już wcześniej wykryto w nim luki bezpieczeństwa i opisano, czy istnieje możliwość ich załatania.

“Nawet jeśli nie znajdziemy takich informacji, to jednak należy zakładać, że takie luki istnieją i tylko kwestią czasu jest ich ujawnienie, a w konsekwencji ryzyko ich wykorzystania przez cyberprzestępców” – mówi Chester Wisniewski, dyrektor ds. technologii w firmie Sophos. “Trzeba mieć świadomość, że w interesie producenta inteligentnych zabawek jest ich sprzedanie, a więc uzyskanie jednorazowego przychodu. Tymczasem opracowywanie aktualizacji do oprogramowania już sprzedanego urządzenia stanowi wyłącznie koszt, a więc podejmą się tego tylko renomowani producenci lub ci, którzy ze sprzedaży takiego sprzętu uzyskali wysoką marżę. Tanie produkty z tej kategorii automatycznie wystawiają użytkownika na ogromne ryzyko” – dodaje.

Aby zapewnić bezpieczne i odpowiedzialne użytkowanie, rodzice powinni przestrzegać kilku wskazówek dotyczących obsługi inteligentnych zabawek:

• Używaj takich zabawek tylko w zamkniętej, zaufanej sieci, do której nie mają dostępu osoby postronne (np. w domu), aby zminimalizować ryzyko przechwycenia danych osobowych.
• Podłączaj takie zabawki tylko do sieci bezprzewodowej chronionej hasłem i tylko wtedy, gdy połączenie online jest absolutnie niezbędne do korzystania z nich.
• Upewnij się, że – jeśli istnieje taka funkcja – aktywowana została ochrona dostępu do zgromadzonych w zabawce danych, aby nie zostały one wykorzystane, jeśli urządzenie zostanie utracone.
• Należy regularnie sprawdzać, czy aktualizacje oprogramowania zabawki są dostępne i jeśli tak, to koniecznie instalować je.
• W zabawkach wyposażonych w aplikację lub interfejs użytkownika, jeśli to możliwe, koniecznie należy zmienić nazwę użytkownika oraz stworzyć silne hasło składające się z dużych i małych liter, cyfr i znaków specjalnych.