Os especialistas da Kaspersky estudaram recentemente a segurança de um popular modelo de robô de brinquedo e encontraram graves problemas que permitem que hackers façam chamadas de vídeo para o robô, sequestrem a conta dos pais e até façam o upload de um firmware modificado. Continue lendo para saber mais.
O que um robô de brinquedo pode fazer
O modelo de robô de brinquedo que analisamos é uma espécie de híbrido entre um smartphone/tablet e um alto-falante inteligente, montado sobre rodas. O robô não tem membros, então rolar pela casa é sua única opção para interagir fisicamente com o ambiente.
O principal recurso do robô é uma grande tela sensível ao toque que pode exibir uma interface de controle, aplicativos de aprendizado interativos para crianças e um rosto animado e detalhado, semelhante a um desenho animado. Suas expressões faciais mudam com o contexto: vale mencionar que os desenvolvedores fizeram um ótimo trabalho na personalidade do robô.
Você pode controlar o robô com comandos de voz, embora esse recurso não funcione para tudo. Então, às vezes é necessário pegar o robô e cutucar o rosto dele na tela embutida.
Além de um microfone embutido e um alto-falante bastante alto, o robô tem uma câmera grande angular colocada logo acima da tela. Um recurso importante divulgado pelo fornecedor é a capacidade dos pais de fazerem chamadas de vídeo para seus filhos no robô.
Na face frontal, no caminho entre a tela e as rodas, há um sensor extra de reconhecimento óptico de objetos que ajuda o robô a evitar colisões. Como o reconhecimento de obstáculos é totalmente independente da câmera principal, os desenvolvedores adicionaram muito oportunamente um obturador físico que cobre a câmera completamente.
Portanto, se houver a preocupação de que alguém possa estar espionando você e/ou a criança pela câmera (infelizmente, não sem motivo, como veremos adiante), basta fechar o obturador. E caso esteja preocupado que alguém possa espionar você pelo microfone embutido, basta desligar o robô (a julgar pelo tempo que leva para reiniciar, este é um desligamento para valer, não um modo de suspensão).
Como é de se esperar, os pais usam um aplicativo para controlar e monitorar o brinquedo. E, como você já deve ter adivinhado, tudo está conectado à Internet e emprega vários serviços de nuvem em sua infraestrutura. Se tiver interesse nos detalhes técnicos, poderá encontrá-los na versão completa da pesquisa de segurança, que publicamos no Securelist.
Como de costume, quanto mais complexo o sistema, maior a probabilidade de haver falhas de segurança que alguém pode tentar explorar para fazer algo desagradável. E aqui chegamos ao ponto-chave desta postagem: depois de estudar o robô de perto, encontramos várias vulnerabilidades graves.
Chamada de vídeo não autorizada
A primeira coisa que descobrimos durante nossa pesquisa foi que hackers podem fazer chamadas de vídeo para qualquer robô desse tipo. O servidor do fornecedor emitiu tokens de sessão de vídeo para qualquer pessoa que tivesse o ID do robô e o ID dos pais. O ID do robô não foi difícil de descobrir: cada brinquedo tinha um ID de nove caracteres semelhante ao número de série impresso em seu corpo, com os dois primeiros caracteres sendo os mesmos para cada unidade. E o ID dos pais poderia ser obtido enviando uma solicitação com o ID do robô ao servidor do fabricante sem qualquer autenticação.
Assim, um hacker que quisesse ligar para uma criança aleatória poderia tentar adivinhar o ID de um robô específico ou brincar de chat-roulette ligando para IDs aleatórios.
Sequestro completo da conta dos pais
Não termina aí. O sistema ingênuo permite que qualquer pessoa com um ID de robô obtenha muitas informações pessoais do servidor: endereço IP, país de residência, nome da criança, sexo, idade, além de detalhes da conta dos pais: endereço de e-mail, número de telefone e código que vincula o aplicativo parental ao robô.
Isso, por sua vez, abre a porta para um ataque muito mais perigoso: o sequestro completo da conta dos pais. O hacker precisaria apenas pôr em prática algumas etapas simples:
- A primeira seria fazer login na conta dos pais em seu próprio dispositivo usando o endereço de e-mail ou o número de telefone obtido anteriormente. A autorização exigia o envio de um código único de seis dígitos, mas as tentativas de login eram ilimitadas, de modo que um ataque de força bruta simples teria sido suficiente.
- Bastaria um clique para desvincular o robô da verdadeira conta parental.
- O próximo passo seria vinculá-lo à conta do invasor. A verificação da conta dependia do código de vinculação mencionado acima, e o servidor o enviava para todos os participantes.
Um ataque bem-sucedido resultaria na perda de todo o acesso dos pais ao robô, e para recuperá-lo seria necessário entrar em contato com o suporte técnico. Mesmo assim, o invasor ainda poderia repetir todo o processo, porque tudo o que ele precisava era o ID do robô, que permaneceu inalterado.
Upload de firmware modificado
Por fim, durante a análise de funcionamento dos vários sistemas do robô, descobrimos problemas de segurança com o processo de atualização do software. Os pacotes de atualização vieram sem uma assinatura digital e o robô instalou um arquivo comprimido de atualização especialmente formatado recebido do servidor do fornecedor sem executar nenhuma verificação antes.
Isso abriu possibilidades para ataques ao servidor de atualização, substituição do arquivo comprimido por um modificado e upload de firmware malicioso que permita ao invasor executar comandos arbitrários com permissões de superusuário em todos os robôs. Em teoria, os invasores seriam capazes de assumir o controle sobre os movimentos do robô, usar câmeras e microfones integrados para espionar, fazer chamadas para robôs e assim por diante.
Como manter a segurança
A história tem um final feliz, contudo. Informamos os desenvolvedores do brinquedo sobre os problemas que descobrimos e eles tomaram medidas para corrigi-los. As vulnerabilidades descritas acima foram todas corrigidas.
Para encerrar, aqui estão algumas dicas sobre como manter a segurança ao usar vários gadgets inteligentes:
- Lembre-se de que todos os dispositivos inteligentes, inclusive brinquedos, consistem em sistemas digitais altamente complexos e frequentemente os desenvolvedores não conseguem assegurar o armazenamento seguro e confiável dos dados do usuário.
- Ao comprar um dispositivo, lembre-se de ler atentamente comentários e avaliações dos usuários, e, se possível, consultar relatórios de segurança, caso estejam disponíveis.
- Tenha em mente que a mera descoberta de vulnerabilidades em um dispositivo não o torna inferior: problemas podem ser encontrados em qualquer lugar. O que você precisa procurar é a resposta do fornecedor: será um bom sinal se algum problema tiver sido corrigido. Tome cuidado se o fornecedor parecer não se importar.
- Para evitar ser espionado por seus dispositivos inteligentes, desligue-os quando não os estiver usando e coloque o obturador ou a fita sobre a câmera.
- Por fim, é evidente que você deve proteger os dispositivos de todos os membros de sua família com uma solução de segurança confiável. Um ataque hacker usando de um robô de brinquedo é uma ameaça incomum, mas a probabilidade de encontrar outros tipos de ameaças on-line ainda é muito alta atualmente.