Vulnerabilidades em Smart toys permitem que cibercriminosos conversem com crianças

Vulnerabilidades em Smart toys permitem que cibercriminosos conversem com crianças

Os investigadores da Kaspersky descobriram que as vulnerabilidades dos brinquedos inteligentes podem tornar as crianças potenciais alvos dos cibercriminosos. Os smart toys podem permitir que indivíduos maliciosos assumam o controlo do sistema do brinquedo e o utilizem indevidamente para comunicar com as crianças, através de conversação por vídeo, sem o consentimento dos pais. Os riscos associados conduzem à partilha de dados sensíveis como os nomes dos utilizadores, o sexo, a idade e até a sua localização, comprometendo a segurança das crianças e das suas famílias.

Um brinquedo inteligente assente num sistema Android, concebido para as crianças, tem uma câmara de vídeo e um microfone incorporados. Utiliza a inteligência artificial para reconhecer e interagir com as crianças, através do seu nome, e ajusta as suas respostas em função do humor da criança, familiarizando-se com ela ao longo do tempo. Para explorar todo o potencial do brinquedo, os pais têm de descarregar a aplicação para o seu dispositivo móvel. Através desta aplicação, os pais podem acompanhar os progressos da criança nas suas atividades de aprendizagem e até iniciar uma videochamada com a criança através do brinquedo.

Durante a configuração inicial, os pais são instruídos a conectar o brinquedo a uma rede Wi-Fi, ligá-lo ao seu dispositivo móvel e, em seguida, fornecer o nome e a idade da criança. Durante esta fase, os especialistas da Kaspersky descobriram um problema de segurança preocupante: a API (Interface de Programação de Aplicações), responsável por solicitar esta informação, carece de autenticação, um passo que confirma quem pode aceder aos recursos da rede. Isto permite que os cibercriminosos intercetem e acedam a vários tipos de dados - incluindo o nome da criança, idade, sexo, país de residência e até mesmo o seu endereço IP - através da interceção e análise do tráfego de rede.

Além disso, esta falha permite que os cibercriminosos explorem a câmara e o microfone do brinquedo, iniciando chamadas diretas para os utilizadores, sem a autorização necessária da conta dos pais ou tutores. Se a criança aceitar a chamada, o atacante pode comunicar de forma dissimulada, sem o consentimento dos pais. Nesses casos, pode manipular o utilizador, potencialmente atraindo-o para fora da segurança da sua casa ou influenciando-o a envolver-se em comportamentos de risco.

Os problemas de segurança da aplicação móvel dos pais podem, ainda, permitir que um atacante assuma remotamente o controlo e obtenha acesso não autorizado à rede. Sem limite de tentativas falhadas, o atacante pode ter acesso à password única de seis dígitos (OTP), e ligar-se remotamente ao smart toy através da sua própria conta, assumindo o controlo do dispositivo de forma permanente e retirando o controlo total aos adultos responsáveis.

“Ao comprar brinquedos inteligentes, torna-se imperativo dar prioridade não só ao seu valor educativo e de entretenimento, mas também às suas características de segurança e proteção. Apesar da crença comum de que um preço mais elevado implica uma maior segurança, é essencial compreender que mesmo os brinquedos mais caros podem não estar imunes a vulnerabilidades que os atacantes podem explorar.”, defende Nikolay Frolov, investigador sénior de segurança da equipa de ICS CERT da Kaspersky.

Segundo o mesmo especialista, “os pais devem, por isso, examinar cuidadosamente as avaliações dos brinquedos, manter-se vigilantes quanto à atualização do software dos dispositivos inteligentes e supervisionar de perto as atividades dos seus filhos durante as brincadeiras.”

As conclusões da extensa investigação da equipa foram apresentadas no painel intitulado de "Empowering the Vulnerable in the Digital Environment", no Mobile World Congress (MWC) de 2024.

A equipa da Kaspersky comunicou todas as vulnerabilidades descobertas ao fornecedor, que as corrigiu de imediato.

Saiba mais em Securelist.com.

Para manter os seus dispositivos inteligentes seguros e protegidos, os especialistas da Kaspersky compilaram as seguintes sugestões:

· Mantenha os seus dispositivos atualizados: Atualize regularmente o firmware e o software de todos os seus dispositivos, incluindo os brinquedos inteligentes. Estas atualizações contêm correções de segurança cruciais que podem resolver as suas vulnerabilidades.

· Faça uma boa pesquisa antes de adquirir um smart toy: Antes de comprar um brinquedo inteligente ou qualquer dispositivo, pesquise a reputação do fabricante em termos de segurança e privacidade. Escolha dispositivos de marcas conceituadas que deem prioridade à segurança e que forneçam atualizações regulares.

· Seja cauteloso com as permissões das aplicações: Reveja e limite as permissões concedidas às aplicações móveis associadas ao seu dispositivo inteligente. Forneça apenas o acesso necessário às funcionalidades e aos seus dados, evitando conceder privilégios excessivos.

· Desligue o brinquedo inteligente quando este não estiver a ser utilizado: Quando não estiver a utilizar o seu brinquedo, desligue-o para evitar a recolha de dados. Se o dispositivo tiver um microfone, guarde-o num local de difícil acesso quando não estiver ativo e cubra ou redirecione as câmaras quando não estiverem a ser utilizadas.

· Utilize soluções de segurança fiáveis: Recomenda-se a utilização de uma solução de segurança que o ajude a proteger o ecossistema da sua casa inteligente.