iStockphoto

Neříkejte hračkám svá tajemství. Prozradí je

Domov chytřetéma 6 min čtení

Chytrá elektronika už dávno není výsadou geeků nebo IT odvětví. Poměrně rychle se zabydluje například v dětských pokojíčcích. Jenže s sebou možná přivádí i někoho dalšího. Prvním viníkem a zároveň obětí se stala panenka Barbie od Mattela, na kterou mnozí hledí jako na špionku nebo rovnou zloděje. Jenže to byl teprve začátek. Firmy chrlí hračky, které jsou schopné zajistit kvalitní obrázek o dítěti i dalších členech rodiny a díky kterým se může do vaší domácnosti podívat někdo úplně cizí.

Líbí se vám článek? Sdílejte ho:

Chytrá elektronika už dávno není výsadou geeků nebo IT odvětví. Poměrně rychle se zabydluje například v dětských pokojíčcích. Jenže s sebou možná přivádí i někoho dalšího. Prvním viníkem a zároveň obětí se stala panenka Barbie od Mattela, na kterou mnozí hledí jako na špionku nebo rovnou zloděje. Jenže to byl teprve začátek. Firmy chrlí hračky, které jsou schopné zajistit kvalitní obrázek o dítěti i dalších členech rodiny a díky kterým se může do vaší domácnosti podívat někdo úplně cizí.

Tak třeba právě zmíněná Hello Barbie: panenka, která si umí povídat. Když na ni dítě mluví, odpovídá smysluplně, zajímavě a zároveň se učí, jak odpovídat ještě lépe. Na první pohled zajímavá hračka. Skutečnost, že rodiče můžou tajně naslouchat svému dítěti a narušovat tak jeho soukromí, je tak vlastně jen nicotný morální problém.

“Málokteré dítě však asi do důsledků pochopí, že místo své panenky si povídá s vykalkulovanou umělou inteligencí ovládanou komerční společností ToyTalk, která pro Mattel hračku provozuje. Nahrávky dětského hlasu putují internetem na server, kde probíhá rozpoznání řeči a analýza mluveného projevu. Podle zjištěného obsahu a svých interních pravidel stroje ToyTalk následně sestaví odpověď, kterou panenka obdrží a přehraje. Konverzace utěšeně pokračuje, dokud to dítě baví. Centrální počítač přitom na pozadí neustále rozšiřuje a zpřesňuje profil svého uživatele s ohledem na jeho zájmy, emoce a v neposlední řadě hlasový model mající nutně povahu biometrických údajů,” hodnotí odborníci v soutěži Slídil roku. Firma navíc zvolila vágní bezpečnostní politiku, s možností “čas od času” ji měnit, bezpečnostní analýzy našly řadu zranitelností systému, přičemž sledování podle zabudované Wi-Fi bylo to nejmenší. 

Hlavně rychle

Panenka sama špehovat nemůže, to za ní vždy musí udělat lidé (a jejich stroje). Vyvolala velký skandál, o něco menší odvetné opatření na ochranu dat, jenže problém se nezastavil. Produkce hraček musí běžet dál.

“Tyto ‘companion’ aplikace se zadávají spíše levným kontraktorům, aby takzvaně byly co nejdřív. Firma, která zakázku zadává, se primárně živí právě prodejem hraček, a nikoliv vývojem softwaru. Proto může zadat zakázku jen velmi vágně s nekalými důsledky pro bezpečnost vlastního softwaru. Pokud se nejedná o renomované developery, aplikace je napsaná hlavně na oko a obsahuje i základní problémy, jako jsou neošetřené vstupy od uživatele, nevhodné ukládání přihlašovacích údajů, komunikace s cloudem, která je buď nezabezpečená, nebo posílá ‘anonymní informace umožňující nám zlepšovat Vaši uživatelskou zkušenost’ neznámo kam,” říká security researcher Jindřich Karásek. 

Související článek

Čidlo Růžová kačenka hlásí únik vody!

Je devět hodin ráno a na recepci operátora T-Mobile stojí dvacet studentů, kteří se jdou seznámit s internetem věcí. Právě začíná druhý den programu Big Step, v němž se seznamují s fungováním a know-how různých společností. Kromě T-Mobile jsou mezi nimi také Accenture či ČEZ.

Zdaleka nejde o zmíněnou panenku. Ke konci loňského roku se tématem zabývala německá spotřebitelská organizace Stiftung Warentest, která zjistila, že ze sedmi zkoumaných chytrých hraček mimo jiné čtyři posílaly údaje o jménu a datu narození dítěte na server poskytovatele, tři získávaly díky “Fingerprintingu” podrobné hardwarové profily o připojeném chytrém telefonu, dvě komunikovaly s reklamními službami Google a celkem šest jich používalo program, který sleduje chování uživatele na internetu.

“Na první pohled se přenos dat zdá být neškodný – těžko může někomu k něčemu být znalost mobilního operátora, operačního systému nebo datum narození dítěte. Zdání ale může klamat. Za prvé, takové informace mohou doplnit stávající zákaznický profil o další dílek ze skládanky. Ve výsledku je možné dobře zacílit reklamu na děti i rodiče podle jejich chování na internetu. Tato nevýznamně vypadající data se také mohou dostat do dalších rukou, kde mohou sehrát roli například během posuzování finanční situace při žádosti o úvěr, a na základě těchto dat může být žádost zamítnuta,” doplňuje český dTest.

Toy-Fi Teddy z dílny ToyFrenzi se chlubí tím, že udržuje maminky i tatínky poblíž i ve chvíli, kdy nejsou doma. Ale nejen ty. Zdroj: ToyFrenzi -

Tisíce verzí, tisíce modelů

Pro odhalení takových hraček někdy musíte zapojit trochu představivosti. Jde o nejrůznější roboty, kteří si umí zapamatovat jednoduché povely, reagují na hlas a případně umí poznat tvary v prostoru. Umí se jim vyhnout, pochopit v jaké místnosti jsou a jak se dostat do jiné. Může jít i o drony s kamerou, které díky napojení na Wi-Fi umožňují sledovat okolí z ptačí perspektivy. Nebo prostě o dětské chůvičky, které po Wi-Fi umožňují sledovat, jestli je dítě v pořádku, i s videopřenosem.

“To vše spojuje několik základních rizik. Doprovodné aplikace pro mobilní zařízení jsou šité `horkou jehlou`. Systémy s natvrdo zakódovanými přihlašovacími údaji, které ovšem už dávno kolují po internetu. Nemožnost jakýchkoliv bezpečnostních aktualizací, platforma je prakticky `mrtvá` hned od vyrobení, protože se použije jen pro jednu hračku a nikomu se nevyplatí další péče a vývoj, protože jsou tisíce různých verzí a modelů. Známé zranitelnosti Wi-Fi nebo Blutooth, které mají hračky kvůli tomu, že využívají ten nejlevnější hardware,” vyjmenovává Jindřich Karásek.

Související článek

Pozor na bezpečnost chytré domácnosti

Že se nejedná o strašení z žánru sci-fi, ale o reálnou hrozbu, ukázali v létě 2017 bezpečnostní technici společnosti Check Point. Podařilo se jim hacknout systém pro chytré domácnosti LG SmartThinkQ a získat tak kontrolu nad domácími spotřebiči téže značky. Bez problémů zapínali a vypínali myčku nádobí a sledovali živý přenos z kamery v robotickém vysavači. Společnost LG o chybě informovali a ta připravila bezpečnostní záplatu.

Ale výrobci, kteří se zabývají výhradně hračkami, můžou na leccos zapomenout i když se o bezpečnost snaží. Například zmíněná Hello Barbie aplikace umožňuje rodičům případně smazat všechny nahrávky, které děti vytvoří. Wi-Fi spojení mezi Barbie a aplikací v mobilu je šifrované. Navazování takového spojení je ale nešifrované. “Pokud by tedy hacker `rozpojil` toto spojení a poslechl si jeho znovunavázání, může získat přístup k vlastní aplikaci i systému v panence. Ta má od výrobce nastavené, že umožňuje nahrávání, jen pokud dítě zmáčkne knoflík. Jenže tlačítko samotné je jen `digitálním` senzorem. Tedy funguje tak, že vyšle systému logický signál o tom, že má začít nahrávat. Což by pro šikovného hackera nebyl takový problém,” nastiňuje Jindřich Karásek.

Poslouchat můžou kilometry od vás

Rizika si někteří uživatelé přivozují sami. Při používání levných dronů s Wi-Fi a kamerkou mají někdy tendenci stahovat si ovládací aplikace mimo oficiální kanály (Google play nebo iTunes), které garantují určitou kvalitu. “Vysílače hraček naštěstí nemají často příliš velký výkon. U chůviček jsou naopak známé případy, kdy sousedi mající podobný model při první instalaci nahlédli do sousedního bytu. Díky existenci moderních antén a zesilovačů není takový problém zvýšit dosah na desítky či stovky metrů, a někdy až kilometry,” doplňuje Jindřich Karásek.

Na druhou stranu si nemyslí, že by bylo třeba chytrým hračkám se vyhýbat a vypínat počítače a mobily. Doporučením může být výběr podle ceny. U velmi levných chytrých hraček si se zabezpečením a vývojem pravděpodobně nikdo hlavu nelámal. Dražší hračky by měly mít vyšší míru bezpečnosti. “V případě Toy Talk, které stojí právě za Hello Barbie, je tomu naštěstí tak, že firma reagovala na bezpečnostní analýzu rychle a nejhorší chyby odstranila,” doplňuje.

Nejsnazší a nejpřímější radou je používat hračku tak, jako by to byla cizí osoba. Neříkejte si před ní rodinná tajemství, nenechávejte děti s ní bez dozoru a vypínejte ji. “Ideálně i s vyjmutím baterie, odpojením, nebo zavřením do původního obalu,” uzavírá Jindřich Karásek.

 

Líbí se vám článek? Sdílejte ho:
link odkaz
Reklama