Bezpečnostný rozmer inteligentných hračiek pre dospelých počas pandémie naberá na význame. Výskumníci z firmy ESET zistili, že pomocou jednoduchého zneužitia Bluetooth pripojenia je možné zo zariadenia vykradnúť intímne údaje či dokonca spôsobiť ujmu.
Protipandemické opatrenia a obmedzovanie sociálneho kontaktu priniesli inovatívne riešenia, ako udržovať vzťahy na diaľku. Jedným z ich dopadov je aj výrazne zvýšený záujem o hračky pre dospelých. Ich bezpečnosťou sa zaoberali aj výskumníci z antivírusovej firmy ESET.
IoT zariadenia patria medzi dôležité prvky kybernetickej bezpečnosti a ako píšu samotní výskumníci, ransomvérové útoky na inteligentné hračky pre dospelých nie sú ničím novým. Podľa ich zistení nie sú problematické len samotné zariadenia, ale aj aplikácie na ich obsluhu.
Komplexná architektúra a veľa medzier
Technologicky vyspelé hračky pre dospelých už zákazníkom ponúkajú celý rad funkcií, ako napríklad skupinové chaty, videkonferencie, diaľkový prístup na internet alebo synchronizáciu s audioknihami a hudobným podkladom. Užívateľ ich ovláda pomocou mobilnej aplikácie a Bluetooth spojenia.
Práve v tomto bode nastáva bezpečnostný problém: aplikácie komunikujú s cloudovými servermi, na ktorých sú uložené údaje o užívateľskom účte. Cloudové služby niekedy figurujú ako prostredník pri službách tretích strán.
Táto komunikačná architektúra má po bezpečnostnej stránke niekoľko slabých miest, na ktoré sa môžu útočníci zamerať. Typicky sa jedná o komunikačné kanály ako aplikácia-cloud, smartfón-cloud alebo smartfón-zariadenie, no lákavý je aj útok na samotnú cloudovú službu.
Konkrétnym príkladom zraniteľnosti je metóda Bluetooth párovania pri produktoch Jive a Max, ktoré výskumníci z ESETu skúmali. Tie využívajú metódu „Just Works“, pri ktorej je dočasný kľúč používaný v druhej etape párovania prednastavený na nulu.
Táto metóda je zraniteľná voči man-in-the-middle (MitM) útokom, pretože každé zariadenie sa môže pripojiť pomocou dočasného nulového kľúča.
K systémom Jive a Max sa tak dokáže automaticky a bez overenia pripojiť akýkoľvek mobilný telefón, tablet alebo počítač, ktorý o to požiada. Stačí zneužiť dočasný nulový kľúč.
Krádež dát, zašifrovanie aj znásilnenie
Útočníkov by k cieleniu na túto kategóriu zariadení mohli viesť mnohé motívy. Užívateľské dáta v týchto zariadeniach, sú, pochopiteľne, mimoriadne citlivé. Okrem mena a sexuálnej orientácie je tu možné nájsť aj zoznam sexuálnych partnerov, dáta o prevádzke zariadenia či intímne fotky a videá.
Ďalšou prirodzenou motiváciou sú ransomvérové útoky, v prípade ktorých by sa vlastne staré známe vydieranie presunulo na novú platformu. Zákazníci častokrát nevedia prerušiť fyzický kontakt so svojím zariadením, ktoré útočníci zamkli. Navyše, ceny nových hračiek sa pohybujú v stovkách eur.
Do kategórie tradičných hrozieb patrí aj DoS (Denial of Service) útok, následkom čoho by zákazník nemohol svoje zariadenie používať, či zneužitie zariadenia na šírenie malvéru.
ESET však upozorňuje na ďalšie dve dimenzie: manipuláciu so zariadeniami tak, aby spôsobili fyzické zranenie, napríklad prehriatím, a prevzatie kontroly nad práve používaným zariadením a následné zadávanie iných príkazov. Takéto konanie by mohlo vyústiť v trestný čin sexuálneho násilia.
Emma McGowan na blogu spoločnosti Avast zhŕňa niekoľko rád, ako sa pri nákupe a používaní inteligentných hračiek pre vekovú kategóriu 18+ vyhnúť nepríjemným prekvapeniam:
- nenakupovať zo stránok s protokolom HTTP namiesto HTTPS a stránok, ktoré neboli dlhšie aktualizované;
- ak ku danému produktu nie sú dostupné aktualizácie a záplaty, tak pravdepodobne nie je ďalej podporovaný, pretože bol nahradený novším modelom (alebo je dokonalý a aktualizácie si nevyžaduje…);
- vyhnúť sa obchodníkom a výrobcov z krajín mimo severnej Ameriky a Európy, pretože nimi používané štandardy bezpečnosti a súkromia budú pravdepodobne nedostatočné.
Krištof Remper