«Из каждого утюга»: как бытовая техника шпионит за владельцами
В мире активно развивается производство «умной» бытовой техники, наделенной нетипичным для нее функционалом. Теперь подключиться к интернету можно даже с холодильника или электрического чайника. Несмотря на то что подобные устройства созданы для того, чтобы упрощать жизнь людей, иногда они становятся причиной проблем: с их помощью можно похитить почти любую информацию о владельце, утверждают эксперты. Как пользоваться «умной» техникой, чтобы не стать жертвой хакеров — разбирались «Известия».
Интернет вещей
В последние несколько лет в мире активно развивается концепция Internet Of Things («интернет вещей»), предполагающая встраивание нетипичных функций в бытовые приборы. Колонки, лампочки, кофеварки, пылесосы, весы и даже зубные щетки могут оснащаться интерфейсами беспроводной связи для дистанционной активации и передачи данных по сети. Тренд, направленный на упрощение жизни и помощь в решении рутинных вопросов, создает целый ряд киберугроз: хакеры могут перехватить любую информацию или биометрические данные пользователей, утверждают эксперты.
— Метод слежения за владельцем отличается в зависимости от типа smart-устройства и набора сенсоров. Так, колонки со встроенным голосовым помощником могут записывать разговоры людей и передавать аудиоданные на сторонние серверы. Устройства со встроенной камерой способны отправлять фото и видеоданные, а вещи с GPS-модулем — геолокацию, — рассказал «Известиям» генеральный директор компании Velter Андрей Федоров.
В качестве примеров он напомнил случаи, когда из-за программной ошибки пользователи сети смогли получить доступ к изображению с частных камер домашнего наблюдения Xiaomi. Другая резонансная история касалась камер Ring: уязвимость устройства позволяла не только следить за людьми, но и подавать сигналы на встроенные колонки. Еще один случай, демонстрирующий угрозу приватности, исходящую от «умной» бытовой техники, связан с популярными роботами-пылесосами Roomba. Они были «пойманы» на том, что на основе своих перемещений по дому составляли виртуальную карту жилища, которую могли в дальнейшем отправить на сторонние серверы.
— Также «умные» устройства знают пароль от пользовательской Wi-Fi-сети, данные об использовании электроприборов и время активности пользователя, на основании чего можно сделать выводы, когда человек находится дома или, наоборот, отсутствует. В большинстве случаев информация собирается для Big Data-анализа и оптимизации внутренних алгоритмов поставщиков «умных» приборов и сервисов. Но иногда данные рискуют попасть в руки злоумышленников, — сказал Федоров.
В этом случае приватными сведениями могут воспользоваться любые заинтересованные лица: например, партнер владельца техники получит возможность отследить, где и с кем он проводит время, а воры смогут выяснить, в какой момент хозяев не будет дома.
Открытые данные
По словам Марата Цихмистрова, менеджера практики «Информационная безопасность» компании Accenture в России, чаще всего средствами сбора информации выступают смартфоны, носимые устройства (например, фитнес-браслеты), средства наблюдения, домашняя электроника и элементы «умного» дома (замки, датчики, управляющие консоли).
— Круг собираемых данных достаточно широк: фото-, видео- и аудиоматериалы, переписка, почта, данные о перемещениях, статусе устройств. В случае, если идет направленная атака на человека, за его жизнью можно наблюдать практически в режиме онлайн. К примеру, существует такой класс приложений для мобильных устройств, как stalkerware. Это коммерческие приложения, тайно устанавливаемые на телефоны интересующих людей (как правило, это супруги и партнеры) и выдающие оператору необходимые ему данные, — отметил эксперт.
Собранные данные впоследствии применяются для различных целей — шантажа (например, при получении интимных фото и видео), вымогательства, саботажа бизнес-активности или удовлетворения личного интереса. При этом, подчеркнул собеседник портала, для самой жертвы сбор данных обычно происходит незаметно, и он может даже не узнать, что за ним велась слежка.
В свою очередь директор департамента информационной безопасности компании Oberon Евгений Суханов рассказал о риске компрометации бытовых приборов для кражи данных или использовании самих устройств при проведении массовых кибератак через подключение их к ботнет-сети.
— Несмотря на то что большинство таких устройств не персонифицировано (не привязано к персональным данным обладателя), они могут собирать и хранить информацию платежных карт. Например, «умные» телевизоры сохраняют информацию о способе оплаты для онлайн-ТВ и кинотеатров, — пояснил он «Известиям».
Легкий доступ
Как отметил в беседе с «Известиями» генеральный директор IT-компании Omega Алексей Рыбаков, зачастую процесс взлома устройств облегчает несоблюдение мер безопасности самими пользователями.
— Если человек может легко получить доступ к «умному» устройству, то же самое может сделать и злоумышленник, например при подключении через Bluetooth без пароля. Действительно, многие устройства доступны для всех пользователей, находящихся в сети Wi-Fi, даже без ввода комбинации. Это значит, что злоумышленник, получивший к ней доступ, получает доступ ко всем подключенным устройствам, — сказал он, отметив, что некоторые гаджеты имеют функционал для обеспечения безопасности, но пользователь может не знать об этом, отключить для удобства или, например, не сменить пароль, назначенный по умолчанию производителем.
Самую большую угрозу, по словам эксперта, представляет получение злоумышленником доступа к смартфону, например с помощью специального приложения-шпиона или даже при утере гаджета или оставлении его без присмотра. Таким путем преступник получит доступ ко всем устройствам, управляющимся с него.
— Современная концепция «умного» дома предполагает возможность управления устройствами со смартфона. Поэтому приложения, которые управляют устройствами, тоже могут стать объектом атаки, — добавил собеседник портала.
Меры защиты
Для того чтобы обезопасить себя от слежки со стороны бытовых приборов, Алексей Рыбаков посоветовал защищать устройства и Wi-Fi установкой сложных паролей и воздержаться от использования гаджетов, доступ к которым может получить любой пользователь, устройство или программа.
Для предотвращения легкого доступа к смартфону не следует устанавливать приложения из неизвестных источников. Зато необходимо следить за установленными и включить обязательный ввод пароля при разблокировке экрана смартфона.
— Зачастую пользователи самостоятельно открывают доступ к данным, например когда смартфон спрашивает, можно ли доверять новому приложению, — отметил эксперт.
В свою очередь директор департамента информационной безопасности компании Oberon Евгений Суханов напомнил о соблюдении правил безопасности при использовании устройств «умного» дома. В частности, рекомендуется применять двухфакторную аутентификацию при проведении платежей, а при подключении устройств к сети использовать параметры «разумной достаточности».
— Ее суть состоит в том, чтобы не предоставлять широкие возможности устройству для взаимодействия с интернетом из домашней сети, а также установить поточную антивирусную защиту на роутере, — объяснил собеседник «Известий».
По мнению экспертов, лучший способ не стать жертвой хакеров или глобальных утечек данных — пользоваться лишь той смарт-техникой, без которой невозможно обойтись, а также регулярно обновлять программное обеспечение устройств. Но если вы все же решили окружить себя «умными» устройствами, постарайтесь следовать нескольким простым правилам, говорит генеральный директор компании Velter Андрей Федоров.
— Прежде всего не обсуждайте то, что желали бы сохранить в секрете, в присутствии «умных» приборов. Если этого не избежать, отключите встроенный в гаджет микрофон на время разговора, — посоветовал он.
Второе правило безопасности в работе с «умной» техникой состоит в том, чтобы внимательно относиться к тем устройствам, которые собирают данные о местоположении пользователя. Всякий раз стоит задумываться, зачем именно конкретному гаджету требуется геолокация его владельца — для обеспечения работы основной функции или просто для аналитики?
При этом один из способов избежать слежки со стороны гаджетов — не отказываться от «умных» девайсов, а контролировать их, например при помощи физического отключения смарт-устройств или их «следящих» функций.
— Для того чтобы «умная» кофеварка отключилась, ее нужно обесточить, «умные» часы можно положить в экранирующий чехол, а микрофоны на колонке можно заглушить с помощью ультразвукового подавителя, — подытожил Андрей Федоров.
Правовая сторона
В соответствии со ст. 23 Конституции РФ каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. На основании ст. 3 федерального закона «О защите персональных данных» под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному физическому лицу.
— Любая информация — телепередачи, которые мы смотрим, книги, еда, маршруты, геолокация, время ухода на работу или возвращения домой, банковские данные, личные документы, частота использования устройств «умного» дома — все это наша частная жизнь и персональные данные, — объясняет Алексей Рыбаков. — Законодательство в отношении защиты данных постоянно претерпевает изменения и улучшается. С 2015 года все данные о нас, которые собираются третьими лицами, в обязательном порядке должны храниться на территории РФ. Законодатель постоянно усложняет условия для операторов, которые обрабатывают и хранят наши данные, и ужесточает контроль.
В то же время, добавил он, нельзя забывать и о собственной ответственности. Например, при установке видеокамер в доме необходимо понимать, что мы можем нарушать права домочадцев. При ухудшении отношений между супругами один из них всегда может обвинить другого в незаконной слежке в собственном доме. Для обвинения и судебного разбирательства будет достаточно, что супруг, установивший скрытую камеру от злоумышленников, не сможет предъявить доказательств согласия с этим другого супруга.
— Более того, его могут обвинить гости, которые были не предупреждены о работающей камере объявлением на стене или устным сообщением, записанным на камеру. Пока таких судебных прецедентов не было, но и системы «умного» дома установлены далеко не везде, — отметил собеседник «Известий».
Впрочем, добавил он, незаконно следить за пользователями могут даже провайдеры IT-услуг или устройств. В прошлом году компанию Google обвинили в незаконном сборе данных пользователей. Суд установил, что пользователи не были уведомлены в надлежащем порядке о дополнительном сборе личных данных, когда они переходили на анонимный режим. Теперь Google могут обязать выплатить многомиллиардный штраф.