Brinquedos conectados podem espiar crianças
Intercomunicadores de vídeo, robôs, relógios inteligentes e geradores de sons estão entre os aparelhos com falhas que podem prejudicar a privacidade e a segurança das crianças. As autoridades devem exigir mais dos fabricantes.
Um robô, um relógio digital ou um tablet fazem as delícias das crianças, nativas que são da tribo digital. Mas, nesta realidade, segurança e privacidade devem estar garantidas. Equipamentos mal protegidos podem expor os mais pequenos a cyberbullying, conteúdo inapropriado ou manipulação por terceiros. Mais: muitos aparelhos recolhem preferências, padrões de comportamento e dados pessoais.
A DECO PROTeste testou oito brinquedos conectados, e encontrou 16 vulnerabilidades, sete das quais de gravidade média a elevada. Para o estudo, foram selecionados equipamentos destinados a bebés ou crianças pequenas, sobretudo de marcas menos conhecidas, mas todos com app para Android e iOS, e vendidos em plataformas como Aliexpress e Amazon. Aqui, não é raro surgirem e desaparecerem marcas – o mesmo produto pode até ser vendido com nomes diferentes.
As autoridades devem aplicar aos fabricantes regras que abranjam desde o design até ao uso destes equipamentos, de modo a criar um ambiente seguro e confiável para as crianças e as suas famílias.
Sete falhas com impacto na segurança das crianças
Sete das vulnerabilidades encontradas pela DECO PROTeste têm gravidade superior, e podem pôr em risco a segurança das crianças e das suas famílias.
Rede wi-fi facilmente pirateada
Os intercomunicadores que permitem monitorizar os bebés são apreciados por pais inexperientes. Porém, lidam com imagens, e estas podem conter informação sensível. Os intercomunicadores testados usam o protocolo de ligação à rede wi-fi, que pode ser facilmente pirateado por alguém nas proximidades. Um hacker tem a hipótese de desligar da rede wi-fi os intercomunicadores e outros aparelhos aí conectados. E os pais nem se apercebem disso, pois não recebem qualquer notificação de que a câmara não está a funcionar.
Palavras-chave fracas
Também preocupante é a não utilização de políticas de passwords fortes. Quase todos os equipamentos conectados exigem a criação de uma conta de utilizador. Mas há aparelhos que aceitam passwords como "123456”.
Validação de dados por um intruso
Alguns equipamentos permitem a um hacker validar o nome de utilizador, identificações, endereços de e-mail, entre outros. Pior: este ataque pode ser automatizado, com algumas linhas de código a serem executadas em grande escala.
Imagens guardadas sem encriptação
Em sistemas de vigilância, já se sabe, as imagens ganham especial sensibilidade. Mas há equipamentos que recolhem imagens, como os intercomunicadores para bebé, que não encripta o conteúdo que armazenam no respetivo cartão de memória. Assim, alguém que consiga roubar o cartão pode facilmente ler o seu conteúdo.
Bluetooth sem ligação cifrada de modo adequado
A falha na encriptação também pode afetar a ligação bluetooth. Para usar estes brinquedos, é normal ser necessário fazer o emparelhamento com um telemóvel ou tablet, quase sempre por bluetooth. Se a ligação não for cifrada de modo adequado, é possível intercetar as comunicações.
Transmissão de dados sem encriptação
O Regulamento Geral sobre a Proteção de Dados (RGPD) diz que a privacidade deve estar contemplada, por defeito, em todos os produtos que saem da fábrica. Segundo esta regra, os dados pessoais gerados pelo uso de um aparelho, e transmitidos a servidores, devem ser criptografados. Mas há brinquedos conectados que usam comunicações em texto simples em algumas ligações.
Apps sensíveis a captura de informação em trânsito
Muitos brinquedos conectados têm aplicações associadas, que podem ser instaladas num smartphone ou num tablet, para controlar o seu funcionamento. Também algumas destas apps são porta de entrada para intrusos: por exemplo, ataques destinados a capturar informação em trânsito para os servidores. Nos casos verificados pela DECO PROTeste, as apps não verificam corretamente o certificado do servidor – aceitam qualquer certificado. Assim, um hacker na mesma rede pode intercetar e ler as comunicações.
Informação dá a volta à Terra
Em certos casos, os ataques podem ser desferidos remotamente, de qualquer parte da Terra. Noutros, o acesso físico ao dispositivo é necessário para explorar as vulnerabilidades. Mesmo assim, nada impede que alguém com más intenções compre o dispositivo, o altere e o devolva à loja. A maioria dos comerciantes só verifica se tudo está intacto, antes de pôr o equipamento de volta na prateleira. Outra hipótese é o hacker oferecer o aparelho à vítima pretendida.
A DECO PROTeste verificou ainda que a quantidade de dados partilhados pelos oito brinquedos é assinalável, ainda que um volume cada vez maior seja encriptado. Se é positivo do ponto de vista da segurança e da privacidade, também significa que a organização de consumidores não consegue avaliar a finalidade e o conteúdo da maioria dos dados enviados – monitoriza apenas os pacotes e o seu destino.
Face aos riscos, os pais devem escolher os brinquedos de forma criteriosa e estimular nos filhos um comportamento responsável. Os brinquedos conectados podem ser um bom ponto de partida para explicar a importância de passwords seguras, da partilha responsável de informações e da identificação de atitudes suspeitas. O futuro precisa de cidadãos (digitais) conscientes.
|
O conteúdo deste artigo pode ser reproduzido para fins não-comerciais com o consentimento expresso da DECO PROTeste, com indicação da fonte e ligação para esta página. Ver Termos e Condições. |
