Nová Hello Barbie komunikuje po stisknutí knoflíku na pásku. | foto: Mattel

Hackeři mají data z hračkářství a podařilo se „nabourat“ wi-fi Barbie

  • 20
Hračky a hračkářství jsou vítaným cílem útočníků. Jak se stále více věcí připojuje k internetu, riziko roste.

Především před Vánoci se rej různých počítačových útočníků zvyšuje.
Intenzita provozu v internetových obchodech a na dalších serverech spojených s vánočními přípravami se zvětšuje a to je láká. Jednou z obětí se stala firma vyrábějící výukové hračky.

Údajný nedostatek objevili specialisté také v panence Barbie, která se připojuje k internetu.

Systém pro výukové hračky napaden

Prvně zmíněný problém zasáhl firmu VTech, která vyrábí hračky Kidizoom prodávané i v Česku. Podle informací na jejich stránkách se útočníkům podařilo proniknout do obchodu s aplikacemi pro vzdělávací hračky Learning Lodge.

Ukradena byla data patřící necelým pěti milionům uživatelů, mezi nimiž je zhruba čtvrt milionu dětí. Přestože ta neobsahovala mnoho osobních údajů, lze přes propojení s rodičovským účtem najít například adresu dětského uživatele. Problém také může být ukradené heslo nebo bezpečnostní otázka, pokud je uživatel používá i na jiných službách a účtech.

Ukázka z uniklých snímků ze serverů VTech

Podle serveru Motherboard mohli útočníci získat přístup ke snímkům hlav dětí, která mohou zařízení pořizovat, nebo informace z komunikace mezi dětmi a rodiči.

Útok poukázal na problém zabezpečení menších obchodů, které pracují s citlivými údaji, ale nemají tak vysokou úroveň zabezpečení jako například banky či jiné velké korporace. Pro hackery je pak jednodušší je napadnout a dostat se k datům.

Hacknutá Barbie

Na jiný problém poukazuje průnik do systému interaktivní panenky Barbie. U ní se jednomu výzkumníkovi podařilo napojit na mikrofon.

Nová Hello Barbie je schopna komunikace s dítětem na podobném principu jako digitální asistentky od Applu, Googlu, Microsoftu a dalších. Požadavky uživatele se totiž odesílají na vzdálený server, kde jej vyhodnocují systémy firmy ToyTalk, a následně je odeslána odpověď.

Podívejte se, jak funguje wi-fi Barbie:

Bezpečnostní analytik Matt Jakubowski však podle serveru The Guardian zjistil, že může získat přístup do informačního systému panenky. Získal tak přístup k datům jako název wi-fi sítě, MAC adresa, ID číslo účtu uživatele, tedy obecně řečeno k informacím o účtu uživatele, přístup k uloženým zvukovým souborům a navíc přímý přístup k mikrofonu.

Mikrofon je sice aktivován tehdy, když dítě zmáčkne ovládací tlačítko a hesla i komunikace jsou šifrovány. Ale pokud získá útočník přístup přímo k panence, může podle Jakubowskiho některé ochrany obejít.

„Můžete si vzít tyto informace a prozkoumat aktivity dotyčné osoby. Je to jen otázka času, kdy budeme schopni nahradit svými servery jejich a donutit tak panenku říkat, co chceme,“ řekl Jakubowski televizi NBC.

Ale šéf firmy ToyTalk Oren Jacob obavy mírní. Podle něj jsou všechny informace, ke kterým výzkumník získal přístup, k dispozici zákazníkům prostřednictvím aplikace Hello Barbie Companion, a ti tak vědí, co panenka obsahuje.

„Nadšený výzkumník ohlásil, že našel v zařízení nějaká data, a hned to nazývá hack. Nebyla ohrožena žádná uživatelská data ani obsah z Barbie a podle našich informací nedošlo k žádnému zásadnímu narušení ochrany z bezpečnostního ani soukromého hlediska,“ tvrdí Jacob.

Podle Martina Reddyho ze stejné společnosti se nepodařilo získat přístup k dětské komunikaci ani heslům. MP3 soubory obsahovaly pouze několik frází, využívaných když je panenka bez připojení k internetu.

Právě útok na podobné nenápadné elektronické součásti domácnosti ovšem ukazuje, jak může být někdy jednoduché získat přístup k součástem tzv. chytré domácnosti a internetu věcí (IoT). Na uživatele to bude klást stále větší požadavky, aby všechna taková zařízení kontrolovali a udržovali v aktuálním stavu a pravidelně je aktualizovali.