Кроме того, многие «умные» игрушки могут снабжаться мобильным приложением и подключаться к нему через уязвимый протокол Bluetooth, часто без пароля. В результате находящийся поблизости злоумышленник может не только следить за ребенком, но и общаться с ним.
Еще один недостаток «умных» игрушек: они предлагают указывать персональную информацию – например, для регистрации профиля ребенка или в процессе коммуникации с ребенком (игрушки могут записывать и передавать реплики ребенка на серверы компании-разработчика, где их распознают и отвечают на них). Так, куклы My Friend Cayla предлагают детям сообщить имена родителей, информацию о месте жительства, название школы и т. д. Злоумышленники могут перехватить такую информацию и использовать ее при планировании преступлений
[508].
«Взрослым игрушкам» тоже угрожает утечка персональных данных, в том числе и фотографий с видеозаписями. Например, вибратор Siime Eye американской компании Svakom «прославился» тем, что в зоне действия беспроводной сети любой желающий, используя дефолтный логин и пароль, может подключиться к нему и просматривать изображение со встроенной в него камеры
[509].
Видеоконференции
Аудио– и видеоконференции часто используются в корпоративной среде для проведения совещаний, особенно если в компании есть сотрудники, которые работают удаленно. Особенный всплеск интереса к видеоконференциям произошел весной 2020 г., во время пандемии COVID-19, когда во многих странах из-за карантина вынужденно перешли на дистанционные формы обучения и работы.
При проведении групповой онлайн-конференции используется специальное программное обеспечение, например Skype или Zoom. Интерес к последнему сервису возник из-за наличия веб-интерфейса и возможности запланировать конференцию (например, дистанционный урок в школе). Благодаря этим особенностям Zoom опередил по популярности Skype, но он существенно менее безопасен. Как выяснилось, в Zoom присутствует немалое количество уязвимостей, и, хотя разработчики стараются их оперативно закрывать, некоторые бреши могут оставаться. В частности, в клиенте для операционной системы Windows были обнаружены проблемы, позволяющие злоумышленникам перехватывать учетные данные пользователей и даже получать удаленный доступ к файлам на их устройствах, подключаться к чужим конференциям, демонстрировать посторонний контент
[510]. Кроме того, алгоритмы сквозного шифрования применяются лишь при передаче трафика от пользователей до серверов компании
[511], т. е. доступ к содержимому аудио– и видеоконференций могут получить сотрудники компании и прочие субъекты. Поэтому для онлайн-конференций безопаснее использовать Skype, в полной мере применяющий сквозное шифрование аудио/видеотрафика
[512]. При этом переписка в чатах Zoom шифруется полноценно.
КЕЙС В марте 2020 г. эксперты компании Motherboard выяснили, что приложение Zoom для iOS без разрешения пользователей передает их персональные данные на серверы корпорации Facebook, даже если у клиентов Zoom нет аккаунтов в этой социальной сети. Такая практика не редкость для приложений, разработанных с применением Facebook SDK (Software Development Kit – комплект для разработки программного обеспечения, позволяющий легко интегрировать сайт или приложение с Facebook
[513]), но пользователи Zoom не были осведомлены (в том числе и в уведомлении о политике конфиденциальности) о том, что предоставляют свои персональные данные третьим лицам. Передавались сведения о дате и времени запуска приложения Zoom; об используемом устройстве, например о модели; о часовом поясе и городе, где находился пользователь; операторе сотовой связи, а также уникальный идентификатор рекламы. Впоследствии эти функции были удалены из кода приложения Zoom
[514].
Кроме того, для защиты доступа к конференциям часто используются простые пароли (либо вообще не защищаются паролями, что позволяет простым перебором ID сессий получать доступ к конференции), которые с легкостью могут быть взломаны, а идентификаторы конференций, в том числе с паролями, нередко попадают в открытый доступ. Получать несанкционированный доступ к конференциям злоумышленники могут не только для целевой атаки на человека или предприятие, но и для троллинга. У корпоративных аккаунтов может быть постоянный идентификатор, а это означает, что если пароль не меняется, то злоумышленник, завладев ссылкой, может попадать в конференции на постоянной основе. Просмотрев список участников, он может перезайти, используя имя легитимного участника. Чтобы предотвратить такие ситуации, следует использовать не только сложные пароли и двухфакторную аутентификацию, но и такие настройки безопасности, как «комната ожидания», в которой будущие участники конференции ждут до тех пор, пока организатор не разрешит им доступ
[515]. Чтобы защититься от утечки информации, для проведения Zoom-конференций следует использовать только официальный клиент, доступный на сайте https://zoom.us или из магазинов мобильных приложений Google Play либо App Store, аналогично и для проведения конференций – если вам нужно приложение Microsoft Teams, то загружайте его только с официального сайта https://www.microsoft.com/ru-ru/microsoft-teams/group-chat-software; так вы избежите риска установки фишингового приложения.
Опасности угрожают и пользователям веб-версий приложений для проведения конференций: злоумышленники создают копии сайтов типа Zoom и рассылают ссылки на них в фишинговых сообщениях. В целях защиты нужно проверять адрес посещаемого ресурса и обмениваться ссылками и данными по отдельным защищенным каналам, например в закрытых группах в мессенджерах.
Защита от мошенничества, связанного с фотографиями
При публикации в интернете фотографий, особенно детских, ставьте перед собой следующие вопросы:
■ Приемлема ли эта фотография? Будет ли нанесен какой-либо ущерб запечатленному на ней человеку, если фотографию увидят люди, которым он не хотел бы ее показывать?
