Social media
#CyberMagazyn: Inteligentny prezent dla dziecka pod choinkę? Uwaga na prywatność
Święta Bożego Narodzenia to okazja, na którą szczególnie w ostatnich latach wiele osób wybiera prezenty związane z nowymi technologiami, również dla dzieci. Popularne dziecięce smartwatche, inteligentne zabawki zaliczające się do urządzeń internetu rzeczy i inne gadżety mają jednak wiele podatności bezpieczeństwa i stwarzają spore ryzyko dla prywatności tak dziecka, jak i jego rodziny - warto więc bardzo uważnie przemyśleć swój wybór przed ich zakupem.
W ostatnich tygodniach firma Dr. Web opublikowała raport, z którego wynika, że cztery popularne marki smartwatchy dla dzieci zawierają poważne luki bezpieczeństwa - słabe domyślne hasła, nie szyfrują komunikacji, a także pozwalają na niekontrolowane pobieranie pakietów oprogramowania z zewnętrznych źródeł.
Sprawę opisał serwis Bleeping Computer, który wskazuje, że w branży inteligentnych urządzeń dla najmłodszych niewiele się zmienia - problemy z ich bezpieczeństwem i prywatnością zmapowano już kilka lat temu.
Wszystkie z analizowanych przez firmę Dr. Web zegarki zyskują jednak zainteresowanie na rynku, ponieważ coraz więcej rodziców chce mieć kontrolę nad tym, gdzie ich dzieci przebywają i co robią.
Jak wskazała firma, większość badanych urządzeń bez świadomej zgody użytkownika zbiera i od czasu do czasu przekazuje na zewnętrzne serwery wrażliwe dane. Osoby korzystające z tego rodzaju gadżetów mogą nawet nie zdawać sobie z tego sprawy - wskazuje Bleeping Computer.
Jakim zegarkom przyjrzał się Dr. Web? Na warsztat wzięto Elari Kidphone 4G, Wokka Lokka Q50, Elari FixiTime Lite i Smart Baby Watch Q19. Wszystkie te zegarki opierają swoje działanie na systemie operacyjnym Android, a popularne są przede wszystkim w krajach Europy Wschodniej.
Cyberszpieg na nadgarstku twojego dziecka
W testach spółki wykazano, że zegarek Elari Kidphone 4G zdolny jest m.in. do wytransferowania danych takich, jak informacje o karcie SIM, dane geolokalizacyjne, informacje o urządzeniu, kontakty zapisane w książce telefonicznej i lista aplikacji na smartfonie, liczba SMS-ów i historia połączeń na zewnętrzne serwery bez wiedzy użytkowników.
Ukryte moduły tego urządzenia mogą być według ekspertów Dr. Web wykorzystane do instalacji złośliwego oprogramowania, a nawet zdalnego uruchamiania pobranych programów, czy wyświetlania złośliwych reklam. Moduł Android.DownLoader.3894 ukryty w zegarku, jak twierdzą specjaliści, może być wykorzystany nawet do celów cyberszpiegowskich.
(Nie)szyfrowane problemy
Najtańszy z przebadanych przez firmę zegarków - Wokka Lokka Q50 (kosztujący około 75 zł), to w ocenie serwisu Bleeping Computer gadżet niemal jednorazowy.
Smartwatch ten zabezpieczony jest słabym hasłem domyślnym, a wszystkie dane transmitowane pomiędzy urządzeniem a serwerami znajdującymi się w Rosji są dostępne dla każdego chętnego - nie są bowiem w żaden sposób szyfrowane.
Potencjalni atakujący mogą zatem w zadziwiająco łatwy sposób przechwycić np. informacje z GPS urządzenia, a tym samym dowiedzieć się, gdzie przebywa, uczy się lub mieszka dziecko korzystające z zegarka.
Komunikacji nie szyfrują również droższe zegarki Elari FixiTime Lite (ok. 200 zł) i Smart Baby Watch Q19 (ok. 100 zł).
Nie tylko zegarki
Smartwatche dla dzieci to jednak nie jedyny problem na rynku połączonych z siecią gadżetów dla najmłodszych użytkowników.
Inteligentne zabawki, m.in. lalki i przytulanki, pojawiły się na rynku ok. 2015 roku, a jednym z pierwszych produktów tego rodzaju była lalka Barbie wyposażona w podstawową sztuczną inteligencję. Niektórzy analitycy okrzyknęli ją wówczas „koszmarem prywatności”, wskazując, że zabawka gromadzi informacje na temat dzieci i może być w bardzo łatwy sposób zhakowana.
Od tamtego czasu cały segment rynkowy bardzo się rozwinął, znormalizowało się również gromadzenie danych przez urządzenia. Dziś inteligentne zabawki zbierają ich bardzo wiele, rejestrując zdarzenia dotyczące m.in. sensorów, modułu Bluetooth, WiFi, a także aktywności w aplikacjach mobilnych i w chmurze.
Zabawki nierzadko wyposażone są w mikrofony, kamery, pozwalając na np. wykorzystanie ich do kontaktu z bliskimi osobami. Wbudowane w lalki rozpoznawanie twarzy pozwala natomiast na stworzenie iluzji unikalnej więzi z dzieckiem, którego twarz jest identyfikowana przez ulubioną zabawkę, reagującą na widok właściciela przyjacielskim przywitaniem.
Kłopoty z prywatnością inteligentnych zabawek
W 2017 roku niemiecki federalny urząd Bundesnetzagentur - wydał ostrzeżenie dotyczące inteligentnych lalek Cayla, które wyposażone były w niewłaściwie zabezpieczony moduł komunikacji Bluetooth umożliwiający nieskrępowane przejmowanie danych osobowych. Urząd zalecił rodzicom, którzy kupili swoim dzieciom te lalki, zniszczenie ich lub wyrzucenie do śmieci.
W USA pierwsza sprawa sądowa dotycząca naruszenia prywatności z wykorzystaniem inteligentnych zabawek została rozpatrzona przez sąd w 2018 roku. Naruszenie dotyczyło przepisów amerykańskiego COPPA (Children’s Online Privacy Protection Act), regulacji, która na poziomie federalnym stwarza ramy dla przetwarzania danych osobowych dzieci poniżej 13. roku życia w usługach i produktach cyfrowych. O tym, że przepisy zostały złamane, orzekła Federalna Komisja Handlu (FTC) - organ, który w USA zajmuje się zarówno kwestiami antymonopolowymi, jak i sprawami związanymi z nadużyciami względem prywatności i danych osobowych użytkowników.
Przedmiotowy spór dotyczył produktów spółki VTech Electronics, produkującej inteligentne zabawki, która według organu nie przedstawiła jasnej i spójnej polityki prywatności użytkownikom i nie zadbała należycie o zabezpieczenie danych osobowych gromadzonych przez produkty od dzieci.
W 2019 roku FTC uznała, że problemów stwarzanych przez inteligentne zabawki jest tak wiele, że wydała specjalny komunikat skierowany do konsumentów w USA, w którym uczula na ryzyka związane z tego rodzaju sprzętami. Komisja zaleciła rodzicom m.in. uważne przeanalizowanie tego, czy zabawki, które wybierają dla swoich dzieci zawierają mikrofon lub kamerę, umożliwiają wysyłanie maili lub łączenie się z kontami w mediach społecznościowych, a także czy oferują właściwe narzędzia kontroli rodzicielskiej pozwalające czuwać nad tym, jak dziecko korzysta z produktu.
Prywatność i bezpieczeństwo już na etapie projektu
O tym, jak ważne jest projektowanie produktów i usług cyfrowych z myślą o cyberbezpieczeńtwie i prywatności już na etapie ich planowania, pisaliśmy w serwisie CyberDefence24.pl w październiku.
Internet Rzeczy to specyficzny segment urządzeń, które działają jak system naczyń połączonych i w praktyce nie mogą funkcjonować inaczej. Inteligentne zabawki z tego segmentu niosą z sobą ryzyko dużo większe, gdyż ich odbiorcami są dzieci. Tym bardziej ich bezpieczeństwo i mechanizmy ochrony prywatności powinny być dopracowane i domyślnie silne.
Niestety tak nie jest - producenci chętnie „kują żelazo, póki gorące”, dzięki czemu na rynek trafiają niedopracowane pod względem technicznym produkty. Bardzo często ich słabości w dziedzinie bezpieczeństwa czy prywatności umożliwiają sprzedaż po cenie atrakcyjnej dla konsumenta - są niewidoczne, zatem można na nich oszczędzić, przyjmując optykę wielu firm.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.