17 Apr 2017

I giocattoli per bambini presentano seri problemi di privacy

Consigli Privacy Sicurezza

Se consideriamo le tante norme e regole per salvaguardare in particolare la privacy dei bambini, potreste pensare che i dispositivi elettronici e i giochi connessi per bambini siano particolarmente sicuri. In linea di massima, pensiamo che la privacy dei bambini sia sacrosanta (i bambini sono particolarmente vulnerabili alla pubblicità, ai venditori, agli adescatori e a tanto altro).

https://www.kaspersky.it/downloads/thank-you/internet-security-free-trial?%26redef=1&reseller=it_kdailyitapics_acq_ona_smm__onl_b2c__lnk_______

Con ogni nuova fuga di dati che si scopre, diventa sempre più evidente il fatto che non possiamo fare affidamento sui produttori di giocattoli per quanto riguarda la nostra sicurezza o la sicurezza dei nostri bambini. Analizziamo un paio di esempi per capire meglio quali siano le brutte sorprese che possono darci i giocattoli intelligenti.

Spionaggio

A dicembre 2016, i sostenitori della privacy hanno sporto denuncia alla Commissione Federale del Commercio americano contro Genesis Toys, produttori delle bambole Cayla e dei robot giocattolo i-Que. Un altro imputato è stato Nuance Communications, l’azienda responsabile della tecnologia di riconoscimento vocale che consente ai giocattoli di conversare con i bambini.

Le parti lese sono state abbastanza chiare fin dall’inizio: “questa denuncia riguarda i giocattoli che spiano“.

Esaminiamo un momento gli elementi della denuncia:

  • L’app utilizzata dalle bambole Cayla per interagire richiede permessi per accedere ai file memorizzati su un dispositivo e l’app di i-Que richiede il permesso per accedere alla telecamera del dispositivo. Il rivenditore non spiega perché l’app abbia bisogno di queste autorizzazioni. Inoltre, sul sito ufficiale o nel video di dimostrazione non si menziona il permesso ad accedere alla telecamera.
  • Per connettersi a uno smartphone o a un tablet, i giochi utilizzano il Bluetooth, connessione poco sicura che non richiede alcuna autenticazione. Inoltre, il gioco non invia notifiche all’utente quando si connette a un dispositivo. Questa mancanza di sicurezza può permettere a intrusi non solo di spiare ma anche di parlare con il bambino.
  • Il gioco fa pubblicità, menzionando diverse marche durante la conversazione.
  • L’app della bambola Cayla induce i bambini a fornire informazioni personali identificabili: i nomi dei genitori, il luogo di residenza, il nome della scuola e molto altro.
  • Entrambe le app inviano registrazioni delle conversazioni ai server di Nuance Communication, dove vengono analizzati per migliorare le risposte. Le registrazioni sono memorizzate sui server allo scopo di migliorare il servizio.
  • I rivenditori non hanno specificato che tipo di dati raccolgano dai bambini.

La capacità di spionaggio di Genesis Toys è stato un motivo sufficiente per i legislatori tedeschi per bloccare completamente le vendite. I proprietari dei giocattoli non sicuri sono stati invitati a sbarazzarsene. Il governo tedesco identifica questi giocattoli come dispositivi di sorveglianza nascosti, proibiti dalla legge.

A dicembre 2016, la Commissione norvegese per la tutela dei consumatori ha espresso la propria preoccupazione sui problemi di sicurezza delle bambole Cayla e dei robot i-Que.

Al contrario, l’Associazione di rivenditori di giocattoli inglese ha dichiarato alla BBC che Cayla “non presenta rischi particolari”.

Mancanza di sicurezza

In un altro incidente di sicurezza, “la perdita di dati” non descrive neanche lontanamente la grandezza della violazione. Per ampliare la metafora, si è trattato della rottura di una diga a causare un’inondazione o perfino un allagamento di dati personali. O, per essere precisi, non c’era alcuna diga fin dall’inizio.

I CloudPets della Spiral Toys sono animali di peluche che scambiano messaggi tra i bambini e i genitori. Il giocattolo si connette agli smartphone dei genitori tramite Bluetooth e i genitori utilizzano un’app speciale per connettersi al giocattolo.

Potrebbe essere un ottimo modo affinché i genitori stiano in contatto con i propri figli, ma il contenuto memorizzato dal sistema non è protetto in maniera adeguata. Il database delle credenziali degli utenti non era affatto protetto. Chiunque poteva connettersi al server senza autenticazione, dare un’occhiata ai dati, duplicare il database e memorizzarlo su un altro computer.

Il ricercatore di sicurezza Victor Gevers ha notato il problema e l’ha comunicato al venditore il 31 dicembre 2016. Successivamente Troy Hunt, un rinomato esperto di sicurezza, ha ricevuto da una fonte anonima un file contenente oltre mezzo milione di registrazioni degli utenti di Cloudpets. Oltre al nome del bambino, ogni registrazione conteneva la data di nascita e le informazioni dei parenti che il bambino aveva comunicato al giocattolo. Il numero complessivo delle registrazioni pericolose degli utenti CloudPets supera gli 800.000.

Un estraneo in possesso della password può scaricare tutti i messaggi inviati tramite il giocattolo. A differenza degli altri dati, le password degli utenti sono crittografate con hash per proteggerle. La funzione hash fornisce protezione, sebbene gli attacchi di forza bruta possano ancora rivelare le password, soprattutto quelle semplici.

Sfortunatamente, è anche abbastanza possibile “origliare” una conversazione senza password. Da quanto emerso, le registrazioni dei messaggi e le immagini erano memorizzate nel cloud di Amazon S3. Un aggressore doveva solo cliccare su un link dal database danneggiato per ottenere un audio dal server. Il numero totale delle registrazioni disponibili superava i 2.000.000.

Ovviamente, non sono stati solo gli hacker white hat a venire a conoscenza di questa falla nella sicurezza. Il server che memorizzava i dati dei bambini era un caos, le copie dei database erano state eliminate ed erano state effettuate richieste di riscatto. Di conseguenza, il database è stato rimosso, anche se le copie potrebbero essere ancora in giro.

Spiral Toys non ha risposto alle persone che provavano a comunicare il problema, Gevers, Hunt, gli informatori di Hunt e il reporter Lorenzo Franceschi-Bicchierai inclusi. Successivamente, a marzo 2017, il Senato americano ha chiesto a Spiral Toys di dire la verità per quanto riguarda la fuga di dati e la sua politica di protezione dei dati. Troy Hunt ha pubblicato il testo della richiesta.

Alla fine Spiral Toys ha risposto al Procuratore Generale della California. DataBreaches.net ha pubblicato la risposta. L’azienda ha affermato che si è resa conto dell’incidente il 22 febbraio grazie a Franceschi-Bicchierai, che era venuto a conoscenza del problema da una fonte anonima. Sebbene diversi ricercatori di sicurezza abbiano provato a mettersi in contatto con l’azienda prima del 22 febbraio, Spiral Toys ha affermato di non aver mai ricevuto quei messaggi e di aver investigato le cause.

Stando a Spiral Toys, la fuga di dati faceva parte di un grande attacco a MongolDB su Internet. L’azienda ha affermato che i messaggi vocali e le immagini non erano stati toccati in quanto erano stati memorizzati su un altro server. Il database danneggiato non era il database principale ma uno temporaneo utilizzato dagli sviluppatori.

Spiral Toys ha anche pubblicato delle FAQ per gli utenti contenenti le informazioni appena citate e facendo notare i nuovi e più severi requisiti per le password.

Database aperti

Un’altra importante fuga di dati include il database del sito ufficiale dell’azienda dei giocattoli di Hello Kitty (3.300.000 registrazioni utenti danneggiate) e il database dello store online di VTech (5.500.000 registrazioni di utenti e un’enorme quantità di foto di bambini compromesse). Entrambi gli incidenti sono avvenuti nel 2015.

Il servizio CloudPet e gli sviluppatori del sito Hello Kitty utilizzavano la soluzione di gestione dei database MongoDB, finito su tanti giornali dopo che gli hacker hanno danneggiato (o meglio, hanno preso il pieno controllo) di decine di migliaia di database.

I proprietari dai database rubati saranno anche vittime, ma non sono innocenti. Non richiedendo alcuna autorizzazione, MongoDB ha lasciato le porte dei database aperte e utilizzando database aperti, i produttori hanno affermato di non preoccuparsene.

Ovviamente MongoDB non è il solo problema (lo stato generale della sicurezza deve essere migliorato). Tutti gli sforzi effettuati dai legislatori, dai sostenitori della privacy e dagli esperti di sicurezza non può semplicemente superare la velocità dell’adozione delle nuove tecnologie e la tendenza generale degli utenti a non dare importanza ai dati.

Ad ogni modo, dopo il problema di MongoDB, gli hacker hanno realizzato attacchi massicci ai sistemi di gestione dei database. Qualsiasi database non protetto sarà divulgato online e l’utente medio non potrà fare nulla al riguardo. È una magra consolazione sapere che la fuga di database riguardava un database temporaneo e di supporto quando invece i dati erano reali. Chiudere un sistema danneggiato non rende magicamente i dati personali di nuovo privati.

Consigli per i genitori

State attenti quando date ai vostri figli un giocattolo elettronico intelligente. In maniera particolare, fate attenzione ai seguenti campanelli d’allarme:

  • Se il giocattolo invia dati a Internet. Molti giocattoli lo fanno e adesso la moda si è estesa anche ai peluche.
  • Se non potete controllare le azioni del giocattolo. Almeno le bambole Cayla hanno un led che lampeggia quando il microfono è attivo. Con le app per mobile, potreste non sapere quando queste sono in funzione. Kaspersky Lab ha scoperto che il 96% delle app è attiva in background anche se l’utente non le avvia.
  • Se un giocattolo è dotato di microfono e di una telecamera. Non si tratta solo degli orsetti di peluche e dei robot (questa categoria include le app per mobile con i relativi permessi).
  • Se un gioco chiede informazioni personali al bambino.
  • Se le impostazioni sono troppo semplici. Ad esempio, quando una connessione Bluetooth non richiede autenticazione.

Anche uno solo di questi punti dovrebbe bastare per riconsiderare l’equilibrio esistente tra il divertimento di un giocattolo connesso e la privacy del vostro bambino.