Smartwatches para crianças ganharam popularidade nos últimos anos, tanto para incentivar a atividade física para combater uma epidemia crescente de obesidade, quanto para ajudar os pais a rastrear melhor seus filhos quando eles estão fora de vista. Mas uma descoberta recente de uma equipe de pesquisadores de segurança norueguês deve dar aos pais uma pausa definitiva antes de comprar equipamentos eletrônicos caro para seus filhos.

Harrison Sand e Erlend Leiknes, os dois seguranças, descobriram um backdoor não documentado em um smartwatch europeu comercializado para crianças. Eles afirmam ter encontrado código malicioso — originário de uma empresa de tecnologia sancionada na China — que permite que alguém capture remotamente instantâneos de câmera, chamadas de voz de escuta e localizações de faixa.

O smartwatch ofensivo, feito pela empresa chinesa Qihoo 360 e rebatizado pela empresa norueguesa Xplora, foi amplamente comercializado na Europa. Os relógios vêm pré-carregados com 19 aplicativos desenvolvidos pelo Qihoo 360.

O dispositivo normalmente é vendido por cerca de 200 USD e é alimentado por Android. É capaz de fazer e receber chamadas de voz e enviar mensagens de emergência quando em perigo. Os pais também podem monitorar remotamente a localização de seus filhos através de um aplicativo em seus telefones. A Xplora afirma que vendeu mais de 350.000 relógios até agora em seus mercados na Europa e nos EUA.

Os pesquisadores de segurança, que são afiliados à empresa norueguesa Mnemonic Labs, dizem que o backdoor só pode ser ativado com uma chave de criptografia secreta para que não seja tão vulnerável quanto possa parecer. No entanto, suas descobertas mostram que há várias partes com acesso ao backdoor, incluindo tanto Xplora quanto Qihoo 360.

Xplora foi notificada sobre o backdoor ofensivo e liberou um patch para corrigir o problema desde então. Em um comunicado, ele disse que realizou uma extensa auditoria desde a notificação e "não encontrou nenhuma evidência da falha de segurança sendo usada fora dos testes mnemônicos".

Há uma impressionante queda técnica do produto, documentada em detalhes por Sand e Leiknes. Em um dos casos, eles foram capazes de comandar a funcionalidade remota para carregar uma foto de seu escritório para servidores Xplora.

Os pesquisadores observam que o backdoor não é uma vulnerabilidade, uma configuração errada ou um descuido. Sua profunda sofisticação técnica significa que há uma certa intenção para o algoritmo.

Riscos de privacidade em brinquedos inteligentes

O backdoor da Xplora representa um risco significativo para a segurança, mas está longe de ser a primeira violação de privacidade em produtos voltados para crianças.

Em 2018, a fabricante de brinquedos infantis Vtech Electronics concordou em pagar uma multa de 650.000 USD para resolver as acusações da Comissão Federal de Comércio que alegava que a Vtech havia "violado uma lei de privacidade infantil dos EUA coletando informações pessoais de crianças sem fornecer aviso direto e obtendo o consentimento de seus pais, e não tomando medidas razoáveis para proteger os dados coletados".

Em 2017, o FBI postou um aviso público pedindo aos consumidores que fiquem atentos aos riscos de segurança de brinquedos conectados à internet, dizendo que os hackers poderiam explorar vulnerabilidades para "bisbilhotar o nome do seu filho, escola, localização, curtidas e desgostos".

Sem nomear nenhum produto específico, o FBI disse que o conjunto de sensores, câmeras, microfones, componentes de armazenamento de dados, algoritmos de reconhecimento de voz e monitores GPS poderia ser comprometido para revelar informações pessoalmente identificáveis e levar a fraude de identidade infantil.

Há vários outros exemplos de brinquedos hackeados, também. A Alemanha teve que banirCayla, uma boneca conectada à internet, por medo de que hackers pudessem atingir crianças. O CloudPets, um popular urso de pelúcia conectado à internet, também sofreu uma enorme violação de dados que expôs as gravações de voz de milhares de usuários. Os aplicativos de fitness não estão apenas registrando seus passos,maspotencialmente sua localização geográfica, frequência cardíaca, padrões de sono e calorias consumidas, também.

Como pode manter seus filhos seguros?

Para os pais preocupados com a exposição potencial de seus filhos, aqui estão algumas práticas recomendadas a seguir:

Use uma senha Wi-Fi segura: Certifique-se de que sua senha de internet doméstica é alfanumérica e difícil de adivinhar. Hackers prosperam com senhas fracas, então não lhes entregue a vantagem. E abstenha-se de conectar o brinquedo a redes Wi-Fi públicas .

Desligue quando não estiver em uso: Não mantenha o brinquedo ligado o tempotodo. Sempre que seu filho terminar de brincar com seu brinquedo ou smartwatch, certifique-se de desligá-lo.

Use informações mínimas: Ao se cadastrar ou se cadastrar em uma conta, certifique-se de colocar o mínimo de informações possível. Não inclua os nomes de seus filhos e use uma conta de e-mail se puder.

Educar seus filhos: Seus filhos serão tão vigilantes quanto são ensinados a serem. O treinamento de privacidade deve começar cedo, com as crianças lembrando do fato de que elas não devem estar dando informações pessoais online, e devem abster-se de conversar com estranhos na web, assim como fariam na vida real.

Denuncie o comportamento errático: Se você sentir que algo está errado com o seu dispositivo, então sinalizar o assunto para as autoridades relevantes em seu país ou estado de origem. Não tenha uma visão branda quando se trata de sua privacidade.

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.