Tegnap írtunk róla, hogy találékony hackerek egy akváriumba helyezett okostermosztát segítségével nyúlták le egy kaszinó nagy tétben játszó vendégeinek adatbázisát, de arra is felhívtuk már olvasóink figyelmét, hogy a pici gyerekekre vigyázó, online babaőrökön keresztül szinte bárki beleshet a család legkisebb tagjainak mindennapjaiba.
Ahogy egyre több háztartásban válik alapfelszereltséggé a nagy sebességű wifikapcsolat, úgy szaporodnak az internetre kapcsolható, úgynevezett okoseszközök is. Ezeket gyűjtőnéven a „dolgok internetének”, vagyis Internet of Thingsnek (IoT) nevezzük, a jelenlegi trendeket figyelve pedig megállapíthatjuk, hogy óriási robbanás előtt álló szektorról van szó: a becslések szerint 5-10 éven belül akár több százmillióval is bővülhet az efféle eszközök piaca, ez pedig aggasztó lehet az adataink biztonságát tekintve.
„A vásárlók sokszor nem kötik össze a szálakat” – figyelmeztetett Tod Beardsley, a Rapid7 cyber-biztonsági cég kutatási vezetője, aki rámutatott, hogy az internetes csatlakozással ellátott játékok, legyen szó akciófiguráról, plüssmaciról, babáról vagy távirányítható kisautóról, valójában kisméretű számítógépek, nem pedig egyszerű játékok. A hackerek pedig nem tesznek különbséget aközött, hogy egy intelligens hűtőszekrényt vagy egy gyerekjátékot törnek fel. Sőt létezik egy kifejezetten az ilyen, gyenge biztonsági megoldásokkal ellátott IoT-eszközök felkutatására szolgáló keresőmotor, a SHODAN, amelyen keresztül még az is könnyen találhat efféle eszközöket, akinek semmiféle informatikai képzettsége sincs.
De mit akarnak a gyerekeinktől?
Sok esetben semmit, csupán a játékokban lévő komputerek számítási kapacitására hajtanak. Az ilyen módon foglyul ejtett gépeket úgynevezett zombihálózatok formájában használják, segítségükkel ugyanis könnyen elérhetetlenné lehet tenni egy-egy weboldalt, ha a távolról vezérelt gépeknek kiadják a parancsot, hogy mindegyik egyszerre próbáljon csatlakozni a célpontként kiszemelt oldalhoz. Bár ez a család szempontjából nem jelent veszélyt, hasonló módszerekkel olyanok is hatalmukba keríthetik ezeket a játékokat, akiknek ennél lényegesen sötétebb szándékaik vannak. Az FBI ezért a tavalyi évben figyelmeztetést adott ki az internetkapcsolattal ellátott játékok jelentette fenyegetés miatt.
„Ezekben a játékokban általában vannak különféle szenzorok, mikrofonok, kamerák, adattárolók és más multimédia-eszközök, például beszédfelismerő vagy GPS-modul” – áll a szövetségi nyomozóiroda állásfoglalásában. „Ezek pedig veszélyt jelentenek a gyerekek adatainak vagy személyes biztonságának szempontjából.”
Ez pedig már több mint egyszerű vészmadárkodás: amikor 2015-ben a játékgyártó Mattel piacra dobta az első wifikapcsolattal szerelt Barbie-babáját, hamar kiderült, hogy az internetcsatlakozást rendkívül könnyen fel lehet törni, a támadók pedig szinte bármihez hozzáférhetnek a családi hálózat jelszavaitól kezdve akár a babákba szerelt mikrofonok által rögzített beszélgetésekig. Ennél is aggasztóbb, hogy a norvég fogyasztóvédelmi tanács nemrég azt találta, hogy a kifejezetten gyerekek számára tervezett okosórák legtöbb modelljét könnyű feltörni, innentől pedig az órát viselő gyereknek követhető válik a pozíciója, sőt a támadó akár beszédkapcsolatot is létesíthet a gyerekkel.
A rémisztő példákat pedig hosszan lehetne sorolni. Tavaly márciusban például a CloudPets nevű játékgyártó, szintén wifikapcsolattal ellátott játékmackóiról derült ki, hogy az általuk rögzített hangokat feltöltik egy online adatbázisba. Már ez is elég aggasztó, azonban ezután még az is kiderült, hogy az így rögzített beszélgetésekbe bárki belehallgathatott, aki rábukkant a felvételekre – a cuki mackók, pontosabban a beléjük épített parányi számítógépek pedig emellett e-maileket és jelszavakat is elloptak: több mint 800 ezer e-mail és jelszó között tallózhattak az internetezők.
Felgyújtani mindet?
Természetesen nem minden IoT-játék vagy -eszköz biztonsága ilyen gyatra, azonban sok hasonló példa mutatja, hogy még volna hová fejlődni. Sok esetben az a gond, hogy a játékgyártók a termékfejlesztés során az olcsóságot helyezik előtérbe, így a beépített online eszközökből azokat választják, amelyek a legkevesebbe kerülnek, ez pedig sokszor épp a kulcsfontosságú biztonsági funkciók rovására megy.
Szerencsére az elmúlt évek hasonló tapasztalatai miatt ma már több szervezet is síkra szállt azért, hogy a hasonló eszközöknél megfelelő szabályozással gondoskodjanak a legkisebbek biztonságáról. Németországban például már betiltották a Genesis Toys két termékét, a My Friend Cayla nevű babát és az i-Que nevű robotot, amely az amerikai Szövetségi Kereskedelmi Bizottsághoz (FTC) eljuttatott panasz szerint „igazságtalan és megtévesztő módon gyűjti és megosztja a gyerekek hangjáról készített felvételeket, anélkül, hogy erről megfelelően tájékoztatná a felhasználókat, vagy hozzájárulást kérne a szülőktől”.
„Azok a cégek, amelyek internetcsatlakozással ellátott játékokat árulnak, nemcsak az eladásokból profitálnak, hanem az általuk a gyerekekről gyűjtött érzékeny információk értékesítéséből is” – mondta David Monahan, a Campaign for a Commercial-Free Childhood nevű szervezet kampánymenedzsere.
„Az internetre csatlakozó játékok adatvédelmi rémálmok” – tette hozzá Marc Rotenberg, az Electronic Privacy Information Center nevű nonprofit szervezet elnöke. „A Mikulás talán tudhatja, hogy ki volt jó gyerek, és ki nem, de a játékgyártóknak ehhez semmi közük.”
Monahan azt javasolja a szülőknek, aki hasonló játék beszerzését tervezi, hogy alaposan vizsgálják meg, pontosan hogy működik, milyen információkat gyűjt be, és mihez kezd azokkal. „Érdemes megvizsgálni a felhasználói feltételeket” – mondta a szakértő. „Ha úgy érezzük, hogy ügyvéd vagy jogász kéne az értelmezéséhez, ez egy fontos intő jel lehet.”
Beardsley ehhez annyit tett hozzá, hogy a játékok biztonsági beállításait is érdemes megvizsgálni.
„Az internetre csatlakozó játékok többségében alapbeállítású, egyszerű felhasználónevek és jelszavak szerepelnek, ami gyerekjátékká teszi ezeknek a feltörését” – tette hozzá a Rapid7 munkatársa. „Fontos, hogy a szülők rászánják az időt az ilyen eszközök telepítésére, és egyedi, erős jelszavakat használjanak, valamint azt is megnézzék, hogy a gyártók milyen formában juttatják el a szoftverfrissítéseket ezekre az eszközökre. De érdemes azt is fejben tartani, hogy az efféle eszközökben lévő mikrofonok és kamerák között sok olyan van, ami állandóan figyel, a leírásból pedig nem derül ki egyértelműen, hogy pontosan mit látnak, hallanak, illetve milyen adatokat tárolnak.”