Brinquedos se comportando mal: como os pais podem proteger sua família das ameaças da IoT

A Internet das Coisas (IoT) está mudando a maneira como vivemos e trabalhamos. De marca-passos inteligentes a rastreadores de fitness, assistentes de voz para campainhas inteligentes, a tecnologia está nos tornando mais saudáveis, mais seguros, mais produtivos e entretidos.

Ao mesmo tempo, também proporcionou oportunidades aos fabricantes para comercializarem novos brinquedos chamativos para as nossas crianças. O mercado global de brinquedos inteligentes deverá ver um crescimento percentual de dois dígitos, ultrapassando os 24 mil milhões de dólares até 2027. Mas quando a conectividade, os dados e a computação se encontram, a privacidade e a preocupações de segurança nunca estão longe.

É provável que você também esteja pensando em comprar um desses brinquedos para seus filhos e assim estimular seu aprendizado e criatividade. No entanto, para proteger os seus dados e privacidade (e a segurança do seu filho!), vale a pena fazer alguma pesquisa antes de entrar no mundo dos brinquedos conectados.

O que são brinquedos inteligentes e quais são os riscos cibernéticos?

Os brinquedos inteligentes já existem há vários anos. Como qualquer dispositivo IoT, a ideia é usar a conectividade e a inteligência do dispositivo para oferecer experiências mais imersivas, interativas e responsivas. Isso pode incluir recursos como:

• Microfones e câmeras que recebem vídeo e áudio da criança
• Alto-falantes e telas para transmitir áudio e vídeo para a criança
• Bluetooth para vincular o brinquedo a um aplicativo conectado
• Conectividade com a Internet para o roteador Wi-Fi doméstico

Com esse tipo de tecnologia, os brinquedos inteligentes podem ir além dos brinquedos inanimados com os quais a maioria de nós cresceu. Eles têm o poder de envolver as crianças por meio de interações de ida e volta e até mesmo adquirir novas funcionalidades ou comportamentos baixando recursos adicionais da Internet.

Infelizmente, os fabricantes podem economizar nas salvaguardas na corrida ao mercado. Como resultado, seus produtos podem conter vulnerabilidades de software e/ou permitir senhas inseguras. Eles podem registrar dados e enviá-los secretamente a terceiros, ou podem exigir que os pais insiram outros detalhes confidenciais, mas depois os armazenem de forma insegura.

Quando os brinquedos estragam

Houve vários exemplos no passado de que isso aconteceu. Alguns dos mais notórios são:

• O Smart Toy Bear da Fisher Price foi projetado para crianças de 3 a 8 anos como “um amigo de aprendizagem interativo que fala, ouve e ‘lembra’ o que seu filho diz e até responde quando lhe falam”. No entanto, um falha no aplicativo do smartphone conectado poderia ter permitido que hackers obtivessem acesso não autorizado aos dados do usuário.
• CloudPets permitiu que pais e filhos compartilhassem mensagens de áudio por meio de um brinquedo fofinho. No entanto, o banco de dados back-end usado para armazenar senhas, endereços de e-mail e as próprias mensagens foi armazenado de forma insegura na nuvem. Foi deixado exposto publicamente online sem nenhuma senha para protegê-lo.
• My Friend Cayla é uma boneca infantil equipada com tecnologia inteligente, que permite às crianças fazer perguntas e receber respostas, através de uma pesquisa na Internet. No entanto, os pesquisadores descobriram uma falha de segurança que poderia permitir que hackers espionassem crianças e seus pais por meio da boneca. Liderou o alemão órgão de fiscalização das telecomunicações pede aos pais para descartar o dispositivo por questões de privacidade. Praticamente o mesmo aconteceu com um smartwatch chamado Safe-KID-One em 2019.

No Natal de 2019, a consultora de segurança NCC Group realizou um estudo com sete brinquedos inteligentes e encontrou 20 problemas dignos de nota – incluindo dois que foram considerados de “alto risco” e três que eram de médio risco. Foi encontrada esses problemas comuns:

• Nenhuma criptografia na criação de conta e processo de login, expondo nomes de usuário e senhas.
• Políticas de senha fracas, o que significa que os usuários podem escolha credenciais de login fáceis de adivinhar.
• Políticas de privacidade vagas, muitas vezes não conformes com a Regra de Proteção à Privacidade On-line das Crianças dos EUA (COPPA). Outros violaram os Regulamentos de Privacidade e Comunicações Eletrônicas do Reino Unido (PECR) coletando passivamente cookies da web e outras informações de rastreamento.
• O emparelhamento do dispositivo (ou seja, com outro brinquedo ou aplicativo) geralmente era feito via Bluetooth, sem necessidade de autenticação. Isso pode permitir que qualquer pessoa dentro do alcance se conecte ao brinquedo para:
• Transmita conteúdo ofensivo ou perturbador
• Envie mensagens manipulativas para a criança
• Em alguns casos (ou seja, walkie talkies infantis), um estranho só precisaria comprar outro dispositivo em uma loja para poder se comunicar com as crianças da região com o mesmo brinquedo.
• Os invasores poderiam, teoricamente, sequestrar um brinquedo inteligente com recursos de áudio para hackear casas inteligentes, enviando comandos de áudio para um sistema ativado por voz (ou seja, “Alexa, abra a porta da frente”).

Como mitigar os riscos de privacidade e segurança dos brinquedos inteligentes

Com os brinquedos inteligentes representando um certo grau de riscos de segurança e privacidade, considere os seguintes conselhos de melhores práticas para combater as ameaças:

• Faça sua pesquisa antes de comprar: Verifique se houve publicidade negativa ou pesquisas feitas sobre as credenciais de segurança e privacidade do modelo.
• Proteja seu roteador. Este dispositivo é central para sua rede doméstica e fala com todos os dispositivos conectados à Internet da sua casa.
• Dispositivos de desligamento: Quando não estiver em uso, desligue o dispositivo para minimizar os riscos.
• Familiarize-se com o brinquedo: Ao mesmo tempo, certifique-se de que qualquer as crianças estão sob supervisão.
• Verifique se há atualizações: Se o brinquedo puder recebê-los, certifique-se de que esteja executando a versão de firmware mais recente.
• Escolha conectividade segura: Certifique-se de que os dispositivos usem autenticação ao emparelhar via Bluetooth e usem comunicações criptografadas com o roteador doméstico.
• Entenda onde os dados são armazenados: E que reputação a empresa tem em segurança.
• Use senhas fortes e exclusivas ao criar contas.
• Minimize a quantidade de dados que você compartilha: Isso reduzirá sua exposição ao risco se os dados forem roubados e/ou a empresa for violada.

Os brinquedos inteligentes podem realmente ser educativos e divertidos. Ao garantir primeiro que seus dados e seus filhos estão seguros, você poderá relaxar e se divertir.