Следуя общему тренду, концерн Mattell, уже более 55 лет выпускающий всемирно известную куклу Барби, в текущем году предложил новую модификацию популярной игрушки — Hello Barbie. Кукла, подключаемая к Интернету через Wi-Fi, «слушает», о чем говорят с ней дети, а затем передает информацию в облако, где умные алгоритмы распознают речь и генерируют ответ, благодаря чему Барби как будто беседует с малышами, подобно тому, как это делают другие интерактивные «помощники» — Siri, Google Now или Cortana. Хотя очевидно, что новая функциональная возможность способна привести в восторг детишек, ИБ-исследователи его не разделяют.

Исследовавшие куклу эксперты в области безопасности обнаружили, что инновационная Барби может превратиться в прекрасный способ шпионить за детьми: в случае эксплуатации она способна похищать персональную информацию и «своевольно» включать микрофон, записывая разговоры.

При подключении к Wi-Fi Барби потенциально подвержена взлому — хакер может получить доступ к профилю пользователя, системной информации, записанным аудиофайлам. Кроме того, потенциальный злоумышленник способен получить удаленный доступ к микрофону. Об этой опасности рассказал исследователь Мэтт Якубовски (Matt Jakubowski).

Возможности, которые открывает взломщику Барби, многочисленны: подслушивая разговоры, можно узнать точный адрес дома, а при проведении более сложных манипуляций хакер может заменить сервера, на которых обрабатывается и анализируется запись детских разговоров, и заставить куклу сказать что угодно.

Стоит признать, что кукла «слушает» речь только при нажатой кнопке, и записанная информация сначала шифруется, перед тем как отправляется в Сеть. Но если хакер получит доступ к системам куклы, эти средства защиты приватности уже будут бесполезны.

Если взлом увенчался успехом, Барби практически становится порталом, дающим доступ к домашней беспроводной сети, различным устройствам, подключенным к той же беспроводной сети, а также персональным данным владельцев, — скорее всего, они даже ничего не заподозрят. Но более всего исследователя обеспокоила простота взлома.

Hello Barbie уже не впервые попадает под прицел ИБ-специалистов и поборников приватности. Правозащитников серьезно тревожит тот факт, что сокровенные разговоры детей записываются и анализируются третьими лицами; активисты даже пытались добиться запрета на продажу новомодной куклы.

Разработчик технологии ToyTalk отрицает возможность взлома Барби. «Исследователь нашел некоторые данные системы и назвал это «взломом». Очевидно, что методы поиска этих данных не характерны для обычного пользователя, к тому же вся информация, на которую ссылается исследователь, уже была доступна через наше приложение Hello Barbie Companion App. Нет никаких серьезных причин считать это как компрометацией игрушки или пользовательских данных, так и нарушением права на приватность», — заявил официальный представитель компании.

Категории: Уязвимости