מה יקרה אם האקר יפרוץ לדובון של הילד?

כשמדובר בתחום המתעורר – האינטרנט של הדברים, פגיעויות אבטחה יכולות להתקיים כמעט בכל מקום, אפילו בדובון של הילד שלכם. ספקית האבטחה Rapid7 חשפה אתמול (ג') פגיעות אבטחה בצעצוע חכם של חברת הצעצועים היוקרתית פישר פרייס (Fisher-Price). הפרצה עלולה לאפשר להאקרים לקבל גישה למידע של המשתמש. Rapid7 העבירה את פרטי הגילוי והפגם לפישר פרייס, וספקית הצעצועים כבר תיקנה את הכשל.

"הצעצוע החכם של פישר פרייס הוא דובון אשר בו משולבת מערכת הפעלה 4.4 Android", אמר טוד בירדסלי, מנהל מחקר האבטחה של Rapid7, ל-eWEEK. "אין בקרות אבטחה מקומיות במכשיר, כך שאם למישהו יש גישה פיזית אליו, ניתן באמצעות ADB (ר"ת Android Debug Bridge) לקבל גישה מלאה למערכת", אמר בירדסלי. אבל המחסור באבטחה מפני גישה מקומית אינו מה שמדאיג את Rapid7, מאחר שההנחה הקיימת היא שאם למישהו יש כבר גישה פיזית למכשיר, הרי שהוא כנראה מכיר את הבעלים. מעניינות יותר הן פגיעויות הגישה מרחוק, כי Rapid7 מצאה שאלו יכולות לאפשר למי שאין לו גישה פיזית אל הצעצוע, לקבל את הפרטים האישיים של בעליו.

למחוק או לשנות את הפרופיל של הילד

יצרנית הצעצועים האמריקנית הוותיקה לא נערכה כמו שצריך לאבטח את ה-Web APIs שבהם היא משתמשת בצעצוע החכם, מה שבאופן פוטנציאלי נותן לתוקפים אפשריים גישה למידע הלקוח הכולל שם, תאריך לידה, מין, שפה וכן צעצועים אחרים שרכש ושנרשמו. אם להרחיק צעד נוסף בתרחיש האפשרי, הרי שבירדסלי טוען כי האקר שיהיה מעוניין בכך יכול למחוק או לשנות את הפרופיל של הילד. פגם הליבה, אשר מזוהה כ-CVE-2015-8269, הוא למעשה טיפול כושל באימות. בירדסלי הסביר כי החיבור לאינטרנט של הצעצוע החכם יאפשר לכל מי שינסה לגשת לאתר לטעון כי הוא הלקוח ולאמץ את ה-ID של הלקוח האמיתי.

פישר פרייס תיקנה את בעיות האבטחה מרחוק ש-Rapid7  הציפה, כך על-פי בירדסלי. מאז התיקון, עניין הגישה מרחוק מאובטח, כך שאין צורך שמשתמשי קצה ייגשו לתקן את המכשיר באופן מקומי.

פגיעות הצעצוע החכם של פישר פרייס באה לאחר חשיפתם של פגמים אחרים שנמצאו בצעצועי האינטרנט של הדברים בחודשים האחרונים, כולל בעיות שהתגלו במותגים הלו קיטי (Hello Kitty), הלו בארבי (Hello Barbie) וב-VTech. מה שנותר לא ברור בנוגע לתקרית פישר פרייס, הוא מספר המשתמשים שהיו בסיכון, וזאת מכיוון ש-Rapid7 פעלה בצורה אחראית, מקצועית וחוקית ולא ניסתה לגשת לכל פרופילי המשתמשים.

הסיפור הנ"ל הוא עוד מקרה שמאיר את סוגיית האבטחה של מכשיר האינטרנט של הדברים. לדעתו של בירדסלי, היעדר אבטחה מלאה ונאותה אינו תוצר של זדון, אלא של חוסר מודעות, שכיום הולך ומשתנה ומשתפר. "אף אחד לא מחליט לוותר על אבטחה", אמר בירדסלי, ששיבח במיוחד את פישר פרייס על תגובתה המהירה לנושא ועל תיקון הפגם המיידי.