Considerando a quantidade de leis e regulamentações instituídas com intuito de preservar a privacidade das crianças, você pode acabar pensando que dispositivos conectados para esse público seriam particularmente seguros. Geralmente, tratamos as informações dos pequenos como algo sagrado, afinal, elas são especialmente vulneráveis a propagandas, predadores e todos os perigos na Internet.
Cada vazamento de dados deixa ainda mais claro que não podemos confiar nossa segurança ou a de nossos filhos a fabricantes. Vamos analisar alguns exemplos para entender essa surpresa perigosa.
Espionagem
Em dezembro de 2016, foi feita uma petição em favor da privacidade na Comissão Federal do Comércio dos EUA contra a Genesis Toys, fabricante das bonecas Cayla e robôs I-Que. Outro réu foi a Nuance Communications, empresa por trás da tecnologia de reconhecimento de voz que permitiu que os brinquedos conversassem com as crianças.
Os lados negativos eram bem claros desde o início: “Essa reclamação diz respeito a brinquedos usados para espionagem“. Vamos examinar os elementos da queixa:
- O aplicativo que a boneca Caylla usa para realizar interações requer permissão para acessar arquivos armazenados em um dispositivo e para que o i-Que acesse a câmera. O fabricante não precisa explicar o porquê dessas necessidades de acesso. Além disso, a autorização para acessar a câmera não é citada no site oficial ou em vídeo demonstrativo.
- Para se conectar em um smartphone ou tablet, os brinquedos usam Bluetooth, conexão pouco segura que não demanda autenticação. Além disso, não notifica quando se conecta a um dispositivo. Essa vulnerabilidade pode permitir que um intruso não só ouvisse, mas também falasse com a criança.
- Os brinquedos em suas propagandas mencionam várias marcas durante a conversa.
- O aplicativo da boneca Cayla incita que as crianças forneçam informações de identificação pessoal: nome dos pais, endereço, nome da escola, e mais.
- Os dois aplicativos enviam os registros de conversas para os servidores da Nuance Communication que são analisados para melhorar respostas. E claro que esses arquivos são armazenados pela empresa com o mesmo objetivo.
- Fabricantes não explicam claramente que tipo de dados das crianças são analisados e armazenados.
A capacidade de espionagem da Genesis Toys era expressiva ao ponto de que a regulação alemã banisse as vendas completamente. Donos de brinquedos vulneráveis foram aconselhados a se livrar deles. O governo alemão os identifica como de vigilância oculto, proibido por lei.
Em dezembro de 2016, o Conselho de Proteção do Consumidor da Noruega também expressou preocupação em relação a problemas de privacidade das bonecas Cayla e robôs i-Que. Em contraste, a Associação de Distribuidores de Brinquedos Britânica comentou com a BBC que a Cayla “não oferecia qualquer risco”.
Insegurança
Em outro incidente de segurança, chamar de “vazamento” é insuficiente para apresentar a dimensão do ocorrido. Para estender a metáfora, foi como o rompimento de uma barragem, uma enchente em termos de dados pessoais. Sendo perfeccionista, não havia qualquer barreira para ser quebrada.
Os Cloud Pets da Spiral Toys são animais de pelúcia que servem para trocar mensagens entre os pais e as crianças. O brinquedo se conecta ao smartphones por Bluetooth, e os pais usam um aplicativo especial para se conectar.
Embora se trate de uma forma incrível de fazer com que os pais se mantenham em contato com seus filhos, o conteúdo do sistema não foi protegido apropriadamente. Qualquer um pode se conectar ao servidor sem autenticação, bisbilhotar os dados, ou duplicar a base de dados e armazená-la em outro computador.
O pesquisador de segurança Victor Gevers notou o problema e notificou o fabricante em 31 de dezembro de 2016. Então, Troy Hunt, especialista de segurança renomado, recebeu de uma fonte anônima um arquivo contendo mais de meio milhão de registros de CloudPets. Além do nome das crianças, cada registro continha data de nascimento e informações relativas ao que foi falado por elas pelo brinquedo. A dimensão de CloudPets comprometidos chegou a 800.000.
Alguém sem as senhas pertinentes pode baixar todas as mensagens enviadas pelo brinquedo. Ao contrário dos outros dados, elas eram criptografadas de forma simples, que por mais que oferecessem certa proteção, mesmo assim ataques de força bruta poderiam descobri-las, principalmente as simples.
Infelizmente, é bem possível espionar conversas sem senha. Descobriu-se que mensagens e imagens eram armazenadas na nuvem em um Amazon S3. Um criminoso tinha apenas que clicar em um link da base de dados comprometida para obter um arquivo de som do servidor. O número total de registros disponíveis passou de 2 milhões.
Claro, não foram apenas hackers do bem que descobriram essa vulnerabilidade. O servidor que armazenava os dados de crianças virou uma bagunça. Com cópias das bases de dados sendo deletadas e resgates sendo pedidos. Ela foi retirada do ar, embora as cópias continuem por aí.
Bases de dados abertas
Outros vazamentos proeminentes incluem as bases de dados de sites oficiais da empresa por trás dos brinquedos da Hello Kitty (3.300.000 registros de usuários comprometidos e a base de dados da loja online da VTech (5.500.000 afetados, além de diversas fotos de crianças na mesma situação). Os dois incidentes ocorreram em 2015.
O serviço dos CloudPets e desenvolvedores do site da Hello Kitty usaram as soluções de gerenciamento da MongoDB, que causaram diversos comprometimentos (sendo mais preciso, tomadas de controle) de dezenas de milhares bases de dados.
Donos de bases de dados podem ser as vítimas, mas eles não são totalmente inocentes. Ao não demandarem autorização, a MongoDB deixa as portas abertas e ao usar esse tipo de bases de dados, os fabricantes indicaram que não ligam.
Claro, a MongoDB não representa o problema por inteiro – todo o estado tem que confluir em função da segurança. Todos os esforços de reguladores, advogados de privacidade, e especialistas em segurança simplesmente não podem superar a velocidade da adoção de novas tecnologias e tendências de desvalorização por parte dos usuários.
Inclusive, depois do comprometimento da MongoDB, hackers executaram um ataque gigantesco contra sistemas de gerenciamento de bases de dados distribuídas. Qualquer uma dessas terminará divulgada online, e a maioria não será capaz de levantar um dedo contra isso. Trata-se de um conforto raso o fato de que a base de dados comprometida era temporária, já que seus conteúdos eram reais de qualquer forma. Tirá-la do ar não torna os dados dos prejudicados magicamente privados.
Dicas para os pais
Tenha cuidado ao presentear seus filhos com brinquedos eletrônicos inteligentes. Fique de olho nos seguintes aspectos:
- Se o brinquedo envia dados para a Internet. Muitos brinquedos o fazem e essa tendência se estende para bichos de pelúcia comuns.
- Se você não for capaz de controlar as ações do brinquedo. Pelo menos a boneca Cayla possui uma luzinha indicando se o microfone está ligado. Com aplicativos mobile, muitas vezes você sequer faz ideia do quando eles começam a monitorar. A Kaspersky Lab descobriu que 96% dos aplicativos trabalham em segundo plano, mesmo aqueles que você não abre.
- Se um brinquedo está equipado com microfone e câmera. Não são só ursinhos e robôs avançados – essa categoria inclui também aplicativos mobile com permissões relevantes.
- Se o brinquedo pede informação pessoal do seu filho ou filha.
- Se as configurações são simples demais. Por exemplo, uma conexão bluetooth não requer autenticação.
Um desses pontos devia ser suficiente para reconsiderar a relação de custo e benefício dos dispositivos conectados, levando em conta diversão e privacidade.