Um brinquedo inteligente assente num sistema Android, concebido para as crianças, tem uma câmara de vídeo e um microfone incorporados. Utiliza a inteligência artificial para reconhecer e interagir com as crianças, através do seu nome, e ajusta as suas respostas em função do humor da criança, familiarizando-se com ela ao longo do tempo. Para explorar todo o potencial do brinquedo, os pais têm de descarregar a aplicação para o seu dispositivo móvel. Através desta aplicação, os pais podem acompanhar os progressos da criança nas suas atividades de aprendizagem e até iniciar uma videochamada com a criança através do brinquedo.
Durante a configuração inicial, os pais são instruídos a conectar o brinquedo a uma rede Wi-Fi, ligá-lo ao seu dispositivo móvel e, em seguida, fornecer o nome e a idade da criança. Durante esta fase, os especialistas da Kaspersky descobriram um problema de segurança preocupante: a API (Interface de Programação de Aplicações), responsável por solicitar esta informação, carece de autenticação, um passo que confirma quem pode aceder aos recursos da rede. Isto permite que os cibercriminosos intercetem e acedam a vários tipos de dados - incluindo o nome da criança, idade, sexo, país de residência e até mesmo o seu endereço IP - através da interceção e análise do tráfego de rede.
Além disso, esta falha permite que os cibercriminosos explorem a câmara e o microfone do brinquedo, iniciando chamadas diretas para os utilizadores, sem a autorização necessária da conta dos pais ou tutores. Se a criança aceitar a chamada, o atacante pode comunicar de forma dissimulada, sem o consentimento dos pais. Nesses casos, pode manipular o utilizador, potencialmente atraindo-o para fora da segurança da sua casa ou influenciando-o a envolver-se em comportamentos de risco.
Os problemas de segurança da aplicação móvel dos pais podem, ainda, permitir que um atacante assuma remotamente o controlo e obtenha acesso não autorizado à rede. Sem limite de tentativas falhadas, o atacante pode ter acesso à password única de seis dígitos (OTP), e ligar-se remotamente ao smart toy através da sua própria conta, assumindo o controlo do dispositivo de forma permanente e retirando o controlo total aos adultos responsáveis.
“Ao comprar brinquedos inteligentes, torna-se imperativo dar prioridade não só ao seu valor educativo e de entretenimento, mas também às suas características de segurança e proteção. Apesar da crença comum de que um preço mais elevado implica uma maior segurança, é essencial compreender que mesmo os brinquedos mais caros podem não estar imunes a vulnerabilidades que os atacantes podem explorar.”, defende Nikolay Frolov, investigador sénior de segurança da equipa de ICS CERT da Kaspersky.
Segundo o mesmo especialista, “os pais devem, por isso, examinar cuidadosamente as avaliações dos brinquedos, manter-se vigilantes quanto à atualização do software dos dispositivos inteligentes e supervisionar de perto as atividades dos seus filhos durante as brincadeiras.”
As conclusões da extensa investigação da equipa foram apresentadas no painel intitulado de "Empowering the Vulnerable in the Digital Environment", no Mobile World Congress (MWC) de 2024.
A equipa da Kaspersky comunicou todas as vulnerabilidades descobertas ao fornecedor, que as corrigiu de imediato.