זהירות: האקרים משתלטים על הברביות
בובת ברבי בעלת חיבור אינטרנט אלחוטי עשויה לאפשר להאקרים לרגל אחר בעליה. חוקרים הראו שניתן לגנוב דרכה מידע אישי ולהקשיב למתרחש סביבה דרך מיקרופון מובנה
בובות ברבי הואשמו לא פעם בהשחתת נפשותיהם הרכות של ילדינו, אך במקרה של דגם הברבי האחרון שהושק על ידי מטאל, הסכנה מוחשית. חוקר אבטחת המידע מאט ג'קובובסקי הצליח להדגים כיצד ניתן לפרוץ לבובה שמצוידת בחיבור אינטרנט אלחוטי, על מנת לגנוב מידע אישי או להאזין לסביבתה של הבובה תוך שימוש במיקרופון מובנה.
- טויס אר אס בריטניה מבטלת את ההפרדה בין צעצועי "בנות" ו"בנים"
- המכשיר שינתק את הילד שלך מפייסבוק ויחבר אותו למשפחה
- Dell מסתבכת: פרצות אבטחה חמורות התגלו במחשביה הניידים
הבובה, שנקראת Hello Barbie, מצוידת במערכת זיהוי קולי המאפשרת לילד לשוחח עימה - בדומה לסירי באייפון, לגוגל Now באנדרואיד או לקורטנה בווינדוס. המידע הקולי מועבר דרך חיבור אינטרנט אלחוטי שהוטמע בבובה לשרתים של חברות צד שלישי שמפעילות את השירות עבור מאטל. אולם, ג'קובובסקי גילה כי למעשה החיבור הזה אינו מאובטח, מה שמאפשר להאקרי ליירט את התשדורות ולפרוץ לבובה.
המידע הקולי שמועבר אמנם מוצפן, אך המערכת שהורכבה בבובה עצמה אינה מאובטחת, כך שהאקר יכול לפרוץ אליה ולבטל את הגדרות הפרטיות. בין השאר הפורץ יכול לקבל גישה למידע אישי שמועבר בתשדורות וכן להשתלט על המיקרופון המובנה, על מנת להאזין לסביבה. החלק המדאיג, לטענת ג'קובובסקי שסיפר על כך ל-NBC, הוא הקלות בה ניתן לפרוץ לחיבור הרשת האלחוטי של הבובה. מכיוון שהבובה מחוברת לרשת הפנימית של הבית, ניתן תיאורטית להשתמש בנקודת הגישה שלה על מנת לחדור להתקנים נוספים המחוברים אליה, כגון מחשבים, סמארטפונים או מערכות בית חכם, לדוגמה.
למרות שהסיפור עשוי להיראות כאנקדוטה משעשעת, הוא ממחיש הלכה למעשה את אחת הסכנות הגדולות בתחום האינטרנט של הדברים: אין כיום תקן אבטחה אחיד. הסיבות לכך רבות ומגוונות, אך הן בראש ובראשונה תולדה של חוסר מודעות מצד גורמים בתעשיות המסורתיות יותר שרק מתחילות להכנס לתחום הטכנולוגיה.
במקרה דומה שאירוע לפני מספר ימים, נמצא שמאגר מידע של אחת מיצרניות הצעצועים הגדולות בעולם לגיל הרך נפרץ במלואו. מדובר בחברת vTech שמוצריה משווקים גם בישראל. ההאקרים הצליחו לגנוב כ-4.5 מיליון רשומות של לקוחות החברה. לדברי חוקרי אבטחה שניתחו את האירוע, החברה אספה את פרטי הלקוחות דרך מערכת שירות לקוחות מקוונת שלא אובטחה במלואה על ידי פרוטוקול הצפנה סטנדרטי.