Parabéns, você acaba de dar acesso para um hacker ao quarto de seu filho!
Estou devendo esse artigo desde antes do natal, o objetivo é explicar as vulnerabilidades e perigos inerentes a esses chamados brinquedos 2.0, ou brinquedos inteligentes, mas devido à agenda corrida (e também às festas kkk) acabou saindo hoje pós Natal. Se você comprou um para o seu filho leia e tome as precauções necessárias, e caso não tenha comprado, fica o alerta. Conhece alguém que comprou? Mande esse artigo pra ele.
Eu entendo a motivação. Quem não quer o melhor para os nossos pequenos. O trabalho, a loucura do dia-a-dia e rotina corrida, faz com que inconscientemente, nós como pais, façamos o possível e o impossível como forma de "compensar" nossa ausência na vida de nossos filhos. Então é comum que olhemos o preço quando algo é para nós mesmos, mas não damos a mínima quando é para eles. Esse casamento era inevitável e tende a piorar. Quanto mais digital e conectada nossas vidas se tornam, mais natural é a vontade de que nossos brinquedos correspondam a essa realidade. Essa aproximação começou de forma tímida, devagar brinquedos começaram a vir acompanhados de "extensões" que você poderia obter através de um determinado código na internet, e dali você teria acesso a novos recursos, ou poderia fornecer novas opções para o brinquedo em questão. Anos se passam e a Internet das Coisas se torna realidade. Geladeiras, TVs, roteadores, carros, fechaduras, toda sorte de dispositivo hoje já interage e se conecta na internet. Pretendo abordar extensivamente os enormes e reais problemas que temos na área de segurança em um artigo muito em breve, mas essa popularização da IOT (e problemas existentes nesse ecossistema) trouxeram essa realidade agora aos brinquedos infantis, e aí meu amigo "a porca torce o rabo". Isso porque costumamos muitas vezes não dar bola aos problemas que ocorrem conosco, mas damos total importância ao que atinge nossos filhos. Para ser justo, não é a primeira vez que o "problema" atinge os pequenos como disse anteriormente hoje tudo está conectado a internet, então a não muito tempo atrás, já era possível para pessoas mal intencionadas monitorar e conversar com bebês e crianças por exemplo. Hackear os Furby já é um hobby a pelo menos duas décadas, mas fica cada vez mais assustador.
Isso porque os novos brinquedos deram um passo além e colocaram as vulnerabilidades dos dispositivos IOT dentro de objetos fofinhos e adoráveis. E na grande maioria dos casos, os pais simplesmente não imaginam os perigos a que estão expondo seus filhos. Daí saiu a motivação para esse artigo.
Entenda esses brinquedos não passam de dispositivos IOT em "pacotes bonitinhos" mas herdaram todas as limitações e vulnerabilidades que a comunidade de segurança da informação já esta careca de ver nos seus dispositivos "irmãos".
É quase trivial quebrar ou enganar os recursos de segurança da maioria desses dispositivos. Entre os que contam com usuários e senhas padrão que nunca são mudados, e os que possuem firmwares compartilhados com vulnerabilidades que nunca serão corrigidas, IOT já é um grande pesadelo de segurança da informação.
A agencia reguladora de telecomunicações do governo alemão chegou ao ponto de recomendar ao pais que haviam comprado a boneca Cayla (Minha amiga Cayla) que destruíssem o brinquedo, e revendas foram permitidas a vender somente se fossem capazes de desabilitar o recurso para conecta-la a internet. O órgão considerou o brinquedo um "aparato ilegal de espionagem". A boneca Minha amiga Cayla é uma boneca enorme, de cabelos loiros, que "conversa" com a criança, o brinquedo conta com recursos de inteligência artificial para ouvir o que a criança diz, e responder de acordo. O problema é que ela grava absolutamente tudo e faz o upload disso pela internet como forma de aumentar e melhorar a base de dados da empresa, e acho que eu não preciso dizer que tudo que é carregado pela internet corre um risco enorme de um dia vazar (quantos vazamentos somente esse ano mesmo?) além disso, a boneca conta obviamente com câmera e microfone que podem ser controlados por hackers mal intencionados, o que por sinal de fato foram.
Ah Alberto, mas isso foi na alemanha, se essa boneca foi proibida por lá, provavelmente não é nem vendida aqui. Oi? Você não pensou isso. Diga que não.
Você pode comprar caso deseje a boneca Cayla aqui por exemplo.
Então, nesse momento você pode estar pensando, ok, não vou comprar essa boneca Cayla e pronto. Pois é, mas o mesmo se aplica por exemplo a boneca da Mattel, Hello Barbie. O pesquisador americano Matt Jakubowski descobriu que quando a boneca esta conectada ao wifi um atacante externo poderia facilmente ter acesso aos arquivos de áudio gravados ao microfone, permitindo então a ele literalmente conversar com a criança. Cabe notar aqui que essa boneca veio pós o fiasco da Minha amiga Cayla, e a Mattel de fato tentou implementar alguns recursos de segurança na boneca. Os áudios por exemplo são gravados e criptografados e a boneca a em teoria só se comunica com os servidores da empresa. O porém (sempre um porém) é que como tudo nessa área, segurança é algo momentâneo. O seu SO está razoavelmente seguro, agora, pode não estar daqui 3 minutos. E quando se colocam crianças na equação, tudo instantaneamente triplica de gravidade. Outro grande hype de vendas é o adorável boneco Furby. Uma criatura peludinha, fofinha, que possui entre outras capacidades, a habilidade de permitir que atacantes mal intencionados conversem com seus filhos através de uma vulnerabilidade no bluetooth. Interessante que como é via bluetooth, o atacante precisa estar perto, controlar o boneco e pedir para a criança sair lá fora conversar com o moço bacana de jaqueta e óculos.
OK. Acabou? Não pequeno gafanhoto. Que tal falarmos sobre o adorável BB-8, amado pelos aficionados em Star Wars que possui uma vulnerabilidade que permite que um Sith mal intencionado converta seu adorável droid para o lado negro, controlando-o remotamente.
Outro dispositivo interessante é o Q50, um smartwatch infantil que permite aos pais se comunicarem de forma fácil com a criança e rastrear sua localização, mas adivinha só? Mas um relatório divulgado pela Top10VPN pesquisadores descobriram que é possível interceptar a comunicação, ouvir aos arredores de onde a criança esta e até mesmo forjar uma localização falsa.
Nesse mesmo relatório foi divulgada a informação que é preciso menos de 14 minutos para que um atacante consiga acesso ao Andromeda Nomad ND1 da Mass Effect, permitindo a ele controlar remotamente o carrinho e filmar tudo por onde passa, o mesmo vale para o Air Hogs FPV High Speed Race car por exemplo, então se você estiver de saia e um carrinho desses aparecer debaixo de você, se liga menina!
Pensei em começar a falar sobre os drones, mas acho que vocês já estão assustados demais para um dia né. Então vou guardar um pouco pro ano que vem. Minha recomendação para você é simples. Não compre. Na minha humilde opinião o risco simplesmente não vale a pena, mas isso quem tem que julgar é você. Eu possivelmente não iria dar muita bola se alguém me filmasse trocando de roupa, mas iria começar a terceira guerra mundial se alguém fizesse o mesmo com a minha filha por exemplo, então colocar um dispositivo no qual eu absolutamente nunca poderei confiar inteiramente na segurança dentro do quarto dela esta fora de questão.
Saudades da época que quando você queria saber se um brinquedo era seguro tudo que precisava era procurar pelo aviso. Esse brinquedo contém peças pequenas que podem ser engolidas. É um maravilhoso mundo novo não é?
