Brinquedo conectado à internet vaza dados de crianças
Também era possível acessar o que o brinquedo ouve dentro da sua casa
Ah, a internet das coisas… Imagine o cenário: você, pai, vê o anúncio de um bicho de pelúcia que permite que você converse com o seu filho remotamente. Vocês conseguem trocar mensagens de voz por um aplicativo conectado ao brinquedo, que reproduz e grava áudio. Olha só a propaganda que fofa:
Mas você já deve ter percebido pelo título desta matéria que o “gadget” não deu tão certo assim. O produto, chamado de CloudPets, vem com uma falha de segurança grave que permitia fácil acesso aos dados dos usuários, como fotos de perfil, nome das crianças, suas datas de nascimento, quem era “amigo” dela no app (pai, tia, vó, etc) e todas as 2,2 milhões (!) de mensagens de voz que eram trocadas pelas 820 mil contas. Que furada, hein?
Todos esses dados podiam ser facilmente obtidos porque a base de dados que armazenava tudo isso era publicamente acessível, sem nenhum tipo de autenticação, e foi indexada pelo mecanismo de busca Shodan, especializado em internet das coisas. A trapalhada foi descoberta pelo especialista em segurança digital Troy Hunt, que detalhou toda a aventura de esmiuçar as falhas do produto em seu blog.
Hunt conta que era fácil acessar os arquivos, armazenados em um servidor da Amazon. Era só abrir o link, facilmente obtido pela API, e as mensagens dos usuários eram baixadas automaticamente. Ele fez o teste e conseguiu ouvir um áudio de uma criança dando “oi” para seus pais e dizendo que os ama.
Ainda não acabou: embora as senhas das contas de usuários do CloudPets fossem criptografadas, o aplicativo de cadastro não tinha nenhuma exigência de segurança, como inclusão de símbolos e números ou mesmo quantidade mínima de caracteres. Isso significa que “a” poderia muito bem ser a senha de alguém.
O vídeo tutorial do aplicativo inclusive usa “qwe” como senha. E não deu outra: Hunt conseguiu quebrar várias senhas por força bruta e descobriu várias como “123456”, “abc123”, “password” e até própria “qwe”.
Mas calma, essa novela ainda não acabou: o The Register divulgou uma falha de segurança na API de Bluetooth Web usada pelo aplicativo para gravar, enviar e receber as mensagens de voz. A vulnerabilidade permitia que qualquer usuário perto o suficiente invadisse o brinquedo. Após o acesso, a pessoa poderia orientar o bicho de pelúcia a gravar o que ele estava ouvindo dentro de casa e também tocar qualquer mensagem. Veja como no vídeo abaixo:
Paul Stone, pesquisador de segurança que descobriu a falha e gravou o vídeo acima, mostra que qualquer navegador com acesso Bluetooth e capacidade de gravar e reproduzir áudio pode fazer a conexão. Ele conta ao The Register que, ao configurar o gadget pelo app oficial, é necessário apertar a pata para completar o pareamento. No entanto, ele conseguiu burlar isso com o código.
A página que você vê no vídeo está disponível no GitHub, onde dá para controlar totalmente o gadget (inclusive o LED do coração). Imagina só alguém perto da sua casa conseguindo gravar o que acontece aí dentro e enviando áudios malucos? Medo.
Pelo menos, os resultados da base de dados não estão mais acessíveis publicamente. Mas calma esta não é uma notícia boa: na verdade, a base foi modificada e deletada por hackers que criptografaram as informações e pediram dinheiro para resgate, como explica Hunt.
Ao buscar uma resposta da Spiral Toys, a empresa por trás do CloudPets, os especialistas não conseguiram muita coisa. Um jornalista da Motherboard amigo de Hunt tenta contato com a empresa desde o dia 30 de dezembro do ano passado e só depois do post de Hunt que eles tiveram alguma resposta.
Basicamente, a empresa tentou negar o ataque a princípio, dizendo que as mensagens de voz não foram acessadas, que não há problema em usar senhas pequenas e que eles não foram avisados do problema. Depois, Mark Meyer, CEO da empresa, disse que preferiu não conversar “com um estranho sobre um vazamento de dados”.
Em outro comunicado, a empresa negou que todas as mensagens de voz foram obtidas e disse que vai contatar os usuários sobre a falha. Todo esse vazamento pode até responsabilizar criminalmente a empresa: na Califórnia, sede da Spiral Toys, as empresas são obrigadas a notificar os usuários se suas informações pessoais foram obtidas por pessoas não autorizadas.
A situação é preocupante para a Spiral Toys, que está em decadência há algum tempo. As ações deles valem US$ 0,005 e o valor de mercado atual é 99% menor que o já alcançado. Seria o fim?
![Como um cabo Lightning pode permitir ataques [O.MG Cable]](https://files.tecnoblog.net/wp-content/uploads/2019/08/apple-3595520_1280-cut-340x191.jpg)
