Amazon, Target и Walmart больше не продают популярные игрушки CloudPets. Мягкий плюшевый мишка кажется безвредным - пока злоумышленники не смогут использовать его, чтобы шпионить за вашими детьми. По заявлению Amazon, они удалили из своего интернет-магазина умную игрушку CloudPets, которая была признана исследователями небезопасной. На прошлой неделе крупные розничные сети Walmart и Target также перестали продавать игрушки CloudPets. Компания Amazon начала снимать с продажи CloudPets во вторник утром.
Такое решение было принято через день после того, как компания Mozilla связалась с Amazon и предоставила исследование, показывающее новые уязвимости в игрушках CloudPets.
Это не первый случай, когда Amazon перестала продавать продукты из-за проблем с информационной безопасностью. Так в июле прошлого года были приостановлены продажи Blu-phones, из-за того что исследователи обнаружили шпионские программы на самом продаваемом телефоне в то время.
Устройства в интернете вещей (IoT) на текущий момент открыты для различных атак и содержат множество уязвимостей, одна из которых применение паролей по-умолчанию. В марте комиссия США по безопасности потребительских товаров начала расследование об опасности использования cоединенных устройств, также известных как Интернет вещей (Internet of Things), в тоже время законодатели ввели закон о регулировании интеллектуальных устройств.
Особой проблемой является продажа IoT-игрушек детям, так как она открывает ряд проблем с конфиденциальности. После того, как адвокаты отметили, что игрушка «My Friend Cayla» нарушала правила конфиденциальности и записывала разговоры без согласия родителей, власти Германии запретили куклу и попросили всех родителей ее уничтожить.
CloudPets, игрушка созданная компанией SpiralToys, — это игрушка-устройство, которая подключена к сети и управляется голосовыми командами или через онлайн-приложение, в том числе по Bluetooth. Ранее В 2017 году хакеры смогли получить доступ к базе данных CloudPets, содержащей адреса электронной почты, пароли и записи голосов детей. Атака затронула данные более чем 800 000 человек и известно, что киберпреступники продали эту информацию не реже двух раз.
Mozilla работала с исследовательской компанией Cure53, чтобы выячнить, какие уязвимости не исправлены в CloudPets после первоначального инцидента в 2017 году. Они обнаружили, что уязвимости Bluetooth для CloudPets, впервые продемонстрированные более года назад, все еще открыты.
В марте исследователи провели тесты на обнаружение уязвимостей и выявили, что CloudPets не соответствует стандартам безопасности. Компания-производитель игрушек пока не дала комментариев по этому поводу. Как заявили в своем отчете эксперты по информационной безопасности, компания не заботится о безопасности и неприкосновенности пользователей и не прилагает никаких усилий, чтобы исправлять найденные проблемы.
Кроме того, исследователи обнаружили, что мобильное приложение CloudPets отправляет пользователей на сайт под названием «mycloudpets.com/tour», домен, который в настоящее время продается, и может быть куплен и использован потенциальными преступниками для онлайн-мошенничества.
У CloudPets также была третья уязвимость, говорится в отчете, что позволило потенциальным хакерам установить пользовательскую прошивку в игрушку без каких-либо проверок безопасности. Установка пользовательской прошивки позволяла потенциальному хакеру взять под контроль игрушку вместе с любыми данными, которые проходили бы через нее.
Исследователи обнаружили, что приложения CloudPets были в последний раз обновлены в мае 2017 года для iOS и в январе 2018 года для Android.
Модераторы подфорума Change My View («Измени мое мнение», CMV) в Reddit направили жалобу в Цюрихский университет: группа исследователей тайно провела эксперимент с ИИ, в котором невольно приняло участие все сообщество.
ИИ-модель два месяца вбрасывала провокационные комментарии в ветку; ученые таким образом проверяли ее умение убеждать. По окончании эксперимента они соблаговолили поставить модераторов в известность и сознались в нарушении правил CMV (там запрещено использовать боты и ИИ).
Для публикации реплик исследователи создали ряд вымышленных персонажей — жертв насилия, консультантов-психологов, противников сектантства и протестных движений. Некоторые фейковые аккаунты админы Reddit выловили и забанили за нарушение пользовательского соглашения.
Сами исследователи, по их словам, комментарии не постили, только вручную проверяли каждую реплику ИИ на предмет потенциально вредного контента. Для персонализации реплик другая ИИ-модель собирала в Reddit пользовательские данные, такие как пол, возраст, этническая принадлежность, местоположение, политические взгляды.
Согласия «подопытных кроликов» при этом никто не спрашивал — для чистоты эксперимента.
Получив разъяснительное письмо, модераторы CMV направили в университет официальную жалобу, предложив публично извиниться за неэтичное поведение исследователей и отказаться от публикации результатов эксперимента.
В ответ на претензии представитель вуза заявил, что научному руководителю ИИ-проекта объявлен выговор. Также будут приняты меры, чтобы подобного не повторилось, но отменять публикацию никто не собирается: результаты проделанной работы важны для науки, а вред от эксперимента минимален.
И претензии, и реакция учебного заведения были опубликованы в CMV. Пользователи до сих пор комментируют этот пост, высказывая свое возмущение.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
