Tržište dječjih igračaka u posljednjem desetljeću prolazi kroz značajnu transformaciju integracijom tehnologije “Interneta stvari” (Internet of Things – IoT). Ova transformacija uključuje lutke, robote, plišane igračke i pametne satove koji se spajaju na internet putem Wi-Fi ili Bluetooth veze. Iako ove funkcije omogućuju interaktivnost i edukativni sadržaj, one istovremeno pretvaraju igračke u uređaje za prikupljanje i obradu podataka.
Osnovni problem leži u činjenici da pametne igračke posjeduju hardverske komponente slične onima u pametnim telefonima – mikrofone, kamere, zvučnike i GPS lokatore – ali često nemaju ugrađene sigurnosne standarde koji su obavezni za računala ili mobitele. Zbog toga dolazi do situacija u kojima igračke nesvjesno postaju alati za nadzor, ugrožavajući privatnost djece i njihovih obitelji.
Kako dolazi do ugroze podataka?
Da bi pametna igračka funkcionirala, ona mora prikupljati podatke iz okoline. Proces najčešće izgleda ovako: dijete postavi pitanje igrački, mikrofon snimi glas, snimka se putem interneta šalje na udaljeni server (Cloud), gdje softver za prepoznavanje govora analizira upit i šalje povratni odgovor.
Sigurnosni stručnjaci identificiraju tri glavna tehnička propusta u ovom procesu:
- Nesigurna Bluetooth veza: Mnoge igračke koriste Bluetooth vezu za spajanje s mobitelom roditelja. Međutim, proizvođači često ne implementiraju sigurnosnu provjeru (poput unosa PIN koda) prilikom uparivanja uređaja. To omogućuje bilo kojoj osobi s Bluetooth uređajem, koja se nalazi u fizičkoj blizini (npr. do 10 metara udaljenosti), da se spoji na igračku i preuzme kontrolu nad njom.
- Nezaštićeni serveri i baze podataka: Podaci koje igračka prikupi (snimke glasa, fotografije, povijest razgovora, lokacija) pohranjuju se na serverima proizvođača. Istraživanja su pokazala da su ti podaci često pohranjeni u nešifriranom obliku ili su baze podataka dostupne javnosti zbog loše konfiguracije servera.
- Hakerski napadi na korisničke račune: Za korištenje pametnih igračaka roditelji moraju kreirati korisnički račun putem mobilne aplikacije. Ako je sigurnost aplikacije slaba, napadači mogu doći do osobnih podataka obitelji, uključujući imena djece, datume rođenja i kućne adrese.
Primjeri sigurnosnih incidenata
Nekoliko dokumentiranih slučajeva pokazuje razmjere ovog problema. Ovi primjeri nisu teoretski scenariji, već stvarni događaji koji su rezultirali povlačenjem proizvoda s tržišta ili zakonskim zabranama.
- “My Friend Cayla” (Njemačka) Lutka My Friend Cayla koristila je mikrofon i Bluetooth vezu za razgovor s djecom. Istražitelji su otkrili da Bluetooth modul lutke nije imao nikakvu zaštitu. To je značilo da se bilo tko u blizini kuće mogao spojiti na lutku putem mobitela i koristiti je kao prislušni uređaj za slušanje razgovora u dječjoj sobi. Zbog toga je njemačka Savezna mrežna agencija (Bundesnetzagentur) 2017. godine klasificirala lutku kao “ilegalni uređaj za špijunažu”. Agencija je naredila povlačenje lutke iz prodaje i savjetovala roditeljima koji su je već kupili da je unište jer je njezino posjedovanje kršilo njemačke zakone o telekomunikacijama.
- “CloudPets” Tvrtka Spiral Toys proizvodila je plišane igračke CloudPets koje su omogućavale roditeljima slanje glasovnih poruka djeci putem aplikacije. Godine 2017., sigurnosni istraživači otkrili su da je baza podataka tvrtke, pohranjena na servisu MongoDB, bila potpuno javna i nije zahtijevala lozinku za pristup. Zbog ovog propusta, izloženo je više od 800.000 korisničkih računa (e-mail adrese i lozinke) te više od 2 milijuna glasovnih snimki djece i roditelja. Bazu su kasnije preuzeli kriminalci i tražili otkupninu, a snimke su postale dostupne trećim stranama.
- Dječji pametni satovi i GPS praćenje Norveško vijeće potrošača (Forbrukerrådet) provelo je detaljnu analizu nekoliko popularnih modela dječjih pametnih satova s GPS-om (poput brendova Gator i Xplora). Otkrili su ozbiljne sigurnosne rupe koje su omogućavale napadačima da preuzmu kontrolu nad satom, prate točnu lokaciju djeteta u stvarnom vremenu te čak mijenjaju koordinate lokacije kako bi roditeljima prikazali lažne podatke (npr. da je dijete u školi, dok se zapravo nalazi na drugom mjestu). Također, napadači su mogli uspostaviti poziv sa satom i prisluškivati okolinu djeteta bez znanja roditelja.
- Napad na tvrtku VTech Jedan od najvećih incidenata dogodio se 2015. godine kada je hakirana baza podataka tvrtke VTech, poznatog proizvođača elektroničkih igračaka i tableta za djecu. U napadu su ukradeni podaci o 6,4 milijuna djece i 4,9 milijuna roditelja. Ukradeni podaci uključivali su imena, spol i datume rođenja djece, kao i povijest preuzimanja igara, a u nekim slučajevima i fotografije te chat zapise.
Glavni razlog učestalosti ovih propusta je ekonomske prirode. Tržište igračaka karakteriziraju niske marže i brza proizvodnja. Implementacija naprednih sigurnosnih protokola, redovito testiranje softvera (penetracijsko testiranje) i održavanje sigurnih servera predstavljaju značajan trošak za proizvođače.
Mnogi proizvođači jeftinih pametnih igračaka usvajaju pristup “prodaj i zaboravi”. Jednom kada je igračka prodana, proizvođač rijetko izdaje sigurnosna ažuriranja (updates) za softver. To znači da, ako se otkrije sigurnosni propust, on ostaje trajno prisutan na uređaju, čineći igračku ranjivom sve dok je u upotrebi.
Zaključak
Pametne igračke donose rizik koji nije prisutan kod tradicionalnih igračaka: mogućnost daljinskog nadzora i krađe identiteta. Iako postoje regulative poput Opće uredbe o zaštiti podataka (GDPR) u EU i Zakona o zaštiti privatnosti djece na internetu (COPPA) u SAD-u, tehnološki razvoj često nadilazi brzinu provedbe zakona.
FBI je izdao službeno upozorenje potrošačima o rizicima IoT igračaka, naglašavajući važnost istraživanja sigurnosnih značajki prije kupnje. Sigurnost dječjih podataka u ovom kontekstu ovisi primarno o informiranosti roditelja i njihovoj odluci o tome je li funkcionalnost igračke vrijedna potencijalnog gubitka privatnosti.
m text block. Click edit button to change this text. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
