האם אפשר ליצור בית חכם ובטוח? ואיך Alexa קשורה לכל זה?

למאמר הבא
ESET

רבות דובר על "הבית החכם", הכוונה היא למכשירים המחוברים לרשת ואמורים להקל על חיי היומיום שלנו. בין אם להדליק לנו את הדוד, לווסת את הטמפרטורה בחדר, לצלם את מה שמתרחש בבית והשיא כמובן הן העוזרות הקוליות שמאפשרות לנו באמצעות פקודות קול לשלוט על כל הבית שלנו.

העוזרות הקוליות הן אחד הטרנדים החמים בעולם כיום. למרות שהן כלל לא נמכרות בישראל ויש להזמין או לרכוש אותן בחו"ל, הערכה היא שבישראל יש בין 15 ל-20 אלף רמקולים חכמים. בארה"ב למשל 46% משתמשים בעוזרות הקוליות, כך על פי סקר של מכון פיו בשנה שעברה. עד כה ההערכות הן שנמכרו בארה"ב כ-40 מיליון עוזרות קוליות, כך שבכל בית אב שלישי תוכלו למצוא עוזרת קולית.

מכשירים "חכמים" או כפי שהם נקראים בסלנג הטכנולוגי IoT (האינטרנט של הדברים) הם המצאה מדהימה שהופכת את חיי היומיום הדיגיטליים לקלים יותר, אך כמה הם מאובטחים מבחינת שמירה על הפרטיות שלנו?

במטרה לבדוק האם אפשר ליצור בית חכם ובטוח, צוות המחקר של ESET, בחן חלק ממכשירי ה-IoT הפופולריים בשוק היום במטרה לדמות בית חכם בסיסי המחקה את המכשירים המקוונים אותם נמצא ככל הנראה במשק בית טיפוסי.

הרבה בעיות יכולות לצוץ בעת שיוצרים מרחב מחיה מקוון. אחד האתגרים העומדים בפני כל הבתים החכמים, אפילו הבסיסיים שבהם, הוא החיבור בין מכשירים של יצרנים שונים כך שייצרו חוויה הרמונית ואחידה, או לפחות דומה לכך ככל האפשר.

צוות החוקרים רכש מספר מכשירי IoT הנחשבים להכרחיים עבור כל אדם המעוניין ליצור בביתו בית חכם. בנוסף, נרכשה עוזרת קולית (מכשיר המקבל פקודות קוליות ומסוגל לשלוט ברבים מהמכשירים המחוברים לאינטרנט; למעשה, לרוב הבית חכם, אם כי פחות בישראל, יתחיל במכשיר כזה ורק לאחר מכן ישפר את הפונקציונליות שלו באמצעות מכשירי IoT נוספים).

האם אתם יודעים אילו נתונים הבית החכם אוסף עליכם?

השיקול העיקרי להתקנת בית חכם הוא שבית כזה לא יפגע בפרטיות שלנו ויאסוף עלינו פרטים שהוא לא צריך לאסוף וכמובן שלא ישתמש בהם לצרכים שאנחנו לא מודעים אליהם.

לכל יצרן חייבת להיות מדיניות פרטיות או מסמך דומה המסביר כיצד הנתונים שנאספים על ידי מכשיר או באמצעות השירותים שבהם אתה משתמש נאספים ומשומשים. חלק מהמדינויות מעורפלות וקשות לקריאה ובמקרים מסוימים קשות לאיתור, בעוד שמקרים אחרים ניתן לראות מאמץ יוצא דופן של חברות כדי להפוך אותם קריאים ומובנים.

הדאגה העיקרית של צוות המחקר הייתה שהמכשירים בבית עשויים לאסוף מידע פרטי. כמובן, שלא ניתן להימנע מזה ורוב המכשירים והשירותים צריכים לאסוף פרטים אישיים בסיסיים. עם זאת, למרבה הדאגה, החוקרים גילו שחברות רבות משתמשות בביטוי "but not limited to" שמשמעותו היא שהחברה עשויה לאסוף יותר נתונים מאלו שצוינו במדיניות הפרטיות שהמשתמש הסכים לה.

צוות החוקרים בדק 12 מכשירים של שבע יצרניות, ביניהם מוצר אחד שלא נכלל בדוח הסופי מכיוון שהתגלו בו פרצות משמעותיות. כחברת אבטחה, אנחנו מחויבים לחשיפה אחראית ושיתוף הפעולה המאפיין את תעשיית אבטחת המידע, ולכן מסרנו הודעה לחברה הנ"ל יחד עם פרטים ספציפיים אודות חסרונותיו של המכשיר, והפרטים לא יתפרסמו עד שהיצרן יפתור את הבעיות האלו.

בין המכשירים שנבדקו, העוזרת קולית של אמזון Amazon Echo – Alexa, מצלמות אבטחה של D-Link, רמקול חכם של Sonos, משקל חכם של Nokia, חיבור חכם של TP Link, המאפשר באמצעות חיבור תקע למכשיר החשמל לשלוט במכשיר מרחוק באמצעות הסמארטפון ועוד.

האם יש חשש לפרטיות שלכם? כן.

החששות החשובים ביותר עולים מכיוון העוזרות הקוליות - במקרה הזה Alexa של אמזון. שירות שפועל כצינור לכל שאר המכשירים ולאחר מכן מאחסן את האינטראקציות איתם, יוצר באופן פוטנציאלי הזדמנות פז עבור פושעי הסייבר. לא המוצר ולא של השירותים של אמזון הם אלה שמוטלים בספק, אבל האקר חכם שמנסה לדלות נתונים אישיים כדי לגנוב את הזהות שלכם יכול ליצור התקפת פישינג ממוקדת כדי לקבל גישה לחשבונות האמזון.

כל אחד מהמכשירים שנבדקו הוביל לבעיות פרטיות מסוימות, תפקידן של העוזרות הקוליות הוא זה שגרם למרבית החששות. זה נובע, בין היתר, מהחשש משיתוף-יתר של הנתונים ע"י שירותים מסחריים, הגנה מעטה מדי על המידע האישי המאוחסן, והאפשרות ליירוט התעבורה הדיגיטלית ע"י פושעי סייבר או נוכלים אחרים.

Alexa – "את יכולה להיות מאובטחת?" זה תלוי.

אם אתם מחליטים לנצל את העוזרות הקוליות בבית החכם, וודאו שאתם מגדירים כמה פרמטרים חשובים.

• הגדירו קוד PIN בעת רכישה באמצעות קול, לרוב עדיף בכלל לא לבצע רכישות באמצעות זיהוי קולי.
• אמנו את Alexa על מנת שתכיר את הקול שלכם ואז הגבילו את הפונקציונליות רק להנחיות המוכרות.
• כאשר אינכם זקוק לעוזרת האישית, כבו את המכשיר, או לפחות סגרו את המיקרופון.

האם אפשר ליצור בית חכם ובטוח?

התשובה היא... יכול להיות. אף מכשיר או תוכנה לא יכולים להיות בטוחים או חסינים מפני פרצות באופן מוחלט. עם זאת, ניתן לקבל מושג בנוגע לתרבות האבטחה של החברה על פי התנהגותה של החברה לאחר שמתגלות פרצות במוצריה. בחלק מהמכשירים שנבדקו היו פרצות אבטחה שנפתרו במהרה באמצעות עדכון תוכנה/קושחה. אם לא מטפלים בפרצות באופן מידי (או שלא מטפלים בהן בכלל), התגובה הראויה לכך תהיה בחירת מכשיר מיצרן אחר. עם זאת, באמצעות שיקול דעת סביר ונקיטת אמצעי זהירות, ניתן ליצור בית חכם בסיסי.

יש לתת את האפשרות לאיסוף נתונים (בנוגע לבית, סגנון החיים, הבריאות ואף הרגלי הגלישה) לגורם יחיד רק לאחר ששוקלים בכובד ראש את ההשלכות האפשריות של החלטה זו ולאחר שקוראים את מדיניות הפרטיות של כל מוצר כזה – כמובן שבמידה ואין כזאת זה אמור להדליק אצלנו נורה אדומה.

ניתן למצוא סקירה מלאה של המכשירים שנבדקו, יחד עם סקירה טכנית של המוצרים, במאמר הבא: IoT ופרטיות כחלק מהתכנון של בית החכם.