{"id":9100,"date":"2017-06-09T19:43:22","date_gmt":"2017-06-09T16:43:22","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=9100"},"modified":"2019-11-22T07:26:19","modified_gmt":"2019-11-22T10:26:19","slug":"kids-devices-vulnerabilities","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/kids-devices-vulnerabilities\/9100\/","title":{"rendered":"Brinquedos e problemas de privacidade"},"content":{"rendered":"<p>Considerando a quantidade de leis e regulamenta\u00e7\u00f5es institu\u00eddas com intuito de preservar a privacidade das crian\u00e7as, voc\u00ea pode acabar pensando que dispositivos conectados para esse p\u00fablico seriam particularmente seguros. Geralmente, tratamos as informa\u00e7\u00f5es dos pequenos como algo sagrado, afinal, elas s\u00e3o especialmente vulner\u00e1veis a propagandas, predadores e todos os perigos na Internet.<br>\nCada vazamento de dados deixa ainda mais claro que n\u00e3o podemos confiar nossa seguran\u00e7a ou a de nossos filhos a fabricantes. Vamos analisar alguns exemplos para entender essa surpresa perigosa.<\/p>\n<h3>Espionagem<\/h3>\n<p>Em dezembro de 2016, foi feita <a href=\"http:\/\/https\/epic.org\/privacy\/kids\/EPIC-IPR-FTC-Genesis-Complaint.pdf\" target=\"_blank\" rel=\"noopener nofollow\">uma peti\u00e7\u00e3o em favor da privacidade na Comiss\u00e3o Federal do Com\u00e9rcio dos EUA contra a Genesis Toys<\/a>, fabricante das <a href=\"https:\/\/www.kaspersky.com.br\/blog\/my-friend-cayla-risks\/7162\/\" target=\"_blank\" rel=\"noopener\">bonecas Cayla<\/a> e rob\u00f4s I-Que. Outro r\u00e9u foi a Nuance Communications, empresa por tr\u00e1s da tecnologia de reconhecimento de voz que permitiu que os brinquedos conversassem com as crian\u00e7as.<\/p>\n<p>Os lados negativos eram bem claros desde o in\u00edcio: \u201c<a href=\"https:\/\/epic.org\/privacy\/kids\/EPIC-IPR-FTC-Genesis-Complaint.pdf\" target=\"_blank\" rel=\"noopener nofollow\">Essa reclama\u00e7\u00e3o diz respeito a brinquedos usados para espionagem<\/a>\u201c. Vamos examinar os elementos da queixa:<\/p>\n<ul>\n<li>O aplicativo que a boneca Caylla usa para realizar intera\u00e7\u00f5es requer permiss\u00e3o para acessar arquivos armazenados em um dispositivo e para que o i-Que acesse a c\u00e2mera. O fabricante n\u00e3o precisa explicar o porqu\u00ea dessas necessidades de acesso. Al\u00e9m disso, a autoriza\u00e7\u00e3o para acessar a c\u00e2mera n\u00e3o \u00e9 citada no site oficial ou em v\u00eddeo demonstrativo.<\/li>\n<li>Para se conectar em um smartphone ou tablet, os brinquedos usam Bluetooth, conex\u00e3o pouco segura que n\u00e3o demanda autentica\u00e7\u00e3o. Al\u00e9m disso, n\u00e3o notifica quando se conecta a um dispositivo. Essa vulnerabilidade pode permitir que um intruso n\u00e3o s\u00f3 ouvisse, mas tamb\u00e9m falasse com a crian\u00e7a.<\/li>\n<li>Os brinquedos em suas propagandas mencionam v\u00e1rias marcas durante a conversa.<\/li>\n<li>O aplicativo da boneca Cayla incita que as crian\u00e7as forne\u00e7am informa\u00e7\u00f5es de identifica\u00e7\u00e3o pessoal: nome dos pais, endere\u00e7o, nome da escola, e mais.<\/li>\n<li>Os dois aplicativos enviam os registros de conversas para os servidores da Nuance Communication que s\u00e3o analisados para melhorar respostas. E claro que esses arquivos s\u00e3o armazenados pela empresa com o mesmo objetivo.<\/li>\n<li>Fabricantes n\u00e3o explicam claramente que tipo de dados das crian\u00e7as s\u00e3o analisados e armazenados.<\/li>\n<\/ul>\n<p>A capacidade de espionagem da Genesis Toys era expressiva ao ponto de que a regula\u00e7\u00e3o alem\u00e3 banisse as vendas completamente. Donos de brinquedos vulner\u00e1veis foram aconselhados a se <a href=\"https:\/\/www.kaspersky.com.br\/blog\/my-friend-cayla-risks\/7162\/\" target=\"_blank\" rel=\"noopener\">livrar deles<\/a>. O governo alem\u00e3o os identifica como de vigil\u00e2ncia oculto, proibido por lei.<\/p>\n<p>Em dezembro de 2016, o Conselho de Prote\u00e7\u00e3o do Consumidor da Noruega <a href=\"https:\/\/fil.forbrukerradet.no\/wp-content\/uploads\/2016\/12\/complaint-dpa-co.pdf\" target=\"_blank\" rel=\"noopener nofollow\">tamb\u00e9m expressou preocupa\u00e7\u00e3o<\/a> em rela\u00e7\u00e3o a problemas de privacidade das bonecas Cayla e rob\u00f4s i-Que. Em contraste, a Associa\u00e7\u00e3o de Distribuidores de Brinquedos Brit\u00e2nica <a href=\"http:\/\/www.bbc.com\/news\/world-europe-39002142\" target=\"_blank\" rel=\"noopener nofollow\">comentou com a BBC<\/a> que a Cayla \u201cn\u00e3o oferecia qualquer risco\u201d.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/lAOj0H5c6Yc?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<h3>Inseguran\u00e7a<\/h3>\n<p>Em outro incidente de seguran\u00e7a, chamar de \u201cvazamento\u201d \u00e9 insuficiente para apresentar a dimens\u00e3o do ocorrido. Para estender a met\u00e1fora, foi como o rompimento de uma barragem, uma enchente em termos de dados pessoais. Sendo perfeccionista, n\u00e3o havia qualquer barreira para ser quebrada.<\/p>\n<p>Os Cloud Pets da Spiral Toys s\u00e3o animais de pel\u00facia que servem para trocar mensagens entre os pais e as crian\u00e7as. O brinquedo se conecta ao smartphones por Bluetooth, e os pais usam um aplicativo especial para se conectar.<\/p>\n<p>Embora se trate de uma forma incr\u00edvel de fazer com que os pais se mantenham em contato com seus filhos, o conte\u00fado do sistema n\u00e3o foi protegido apropriadamente. Qualquer um pode se conectar ao servidor sem autentica\u00e7\u00e3o, bisbilhotar os dados, ou duplicar a base de dados e armazen\u00e1-la em outro computador.<\/p>\n<p>O pesquisador de seguran\u00e7a Victor Gevers notou o problema e notificou o fabricante em 31 de dezembro de 2016. Ent\u00e3o, Troy Hunt, especialista de seguran\u00e7a renomado, recebeu de uma fonte an\u00f4nima um arquivo contendo <a href=\"https:\/\/www.troyhunt.com\/data-from-connected-cloudpets-teddy-bears-leaked-and-ransomed-exposing-kids-voice-messages\/\" target=\"_blank\" rel=\"noopener nofollow\">mais de meio milh\u00e3o de registros de CloudPets.<\/a> Al\u00e9m do nome das crian\u00e7as, cada registro continha data de nascimento e informa\u00e7\u00f5es relativas ao que foi falado por elas pelo brinquedo. A dimens\u00e3o de CloudPets comprometidos chegou a 800.000.<\/p>\n<p>Algu\u00e9m sem as senhas pertinentes pode baixar todas as mensagens enviadas pelo brinquedo. Ao contr\u00e1rio dos outros dados, elas eram criptografadas de forma simples, que por mais que oferecessem certa prote\u00e7\u00e3o, mesmo assim ataques de for\u00e7a bruta poderiam descobri-las, principalmente as simples.<\/p>\n<p>Infelizmente, \u00e9 bem poss\u00edvel espionar conversas sem senha. Descobriu-se que mensagens e imagens eram armazenadas na nuvem em um Amazon S3. Um criminoso tinha apenas que clicar em um link da base de dados comprometida para obter um arquivo de som do servidor. O n\u00famero total de registros dispon\u00edveis passou de 2 milh\u00f5es.<\/p>\n<p>Claro, n\u00e3o foram apenas hackers do bem que descobriram essa vulnerabilidade. O servidor que armazenava os dados de crian\u00e7as virou uma bagun\u00e7a. Com c\u00f3pias das bases de dados sendo deletadas e resgates sendo pedidos. Ela foi retirada do ar, embora as c\u00f3pias continuem por a\u00ed.<\/p>\n<h3><strong>Bases de dados abertas<\/strong><\/h3>\n<p>Outros vazamentos proeminentes incluem as <a href=\"https:\/\/www.kaspersky.com\/blog\/hello-kitty-hacked\/10916\/\" target=\"_blank\" rel=\"noopener nofollow\">bases de dados de sites oficiais da empresa por tr\u00e1s dos brinquedos da Hello Kitty<\/a> (3.300.000 registros de usu\u00e1rios comprometidos e a <a href=\"https:\/\/www.kaspersky.com\/blog\/vtech-toys-hacked\/10697\/\" target=\"_blank\" rel=\"noopener nofollow\">base de dados da loja online da VTech<\/a> (5.500.000 afetados, al\u00e9m de diversas fotos de crian\u00e7as na mesma situa\u00e7\u00e3o). Os dois incidentes ocorreram em 2015.<\/p>\n<p>O servi\u00e7o dos CloudPets e desenvolvedores do site da Hello Kitty usaram as solu\u00e7\u00f5es de gerenciamento da MongoDB, que causaram diversos comprometimentos (sendo mais preciso, tomadas de controle) de dezenas de milhares bases de dados.<\/p>\n<p>Donos de bases de dados podem ser as v\u00edtimas, mas eles n\u00e3o s\u00e3o totalmente inocentes.\u00a0 Ao n\u00e3o demandarem autoriza\u00e7\u00e3o, a MongoDB deixa as portas abertas e ao usar esse tipo de bases de dados, os fabricantes indicaram que n\u00e3o ligam.<\/p>\n<p>Claro, a MongoDB n\u00e3o representa o problema por inteiro \u2013 todo o estado tem que confluir em fun\u00e7\u00e3o da seguran\u00e7a. Todos os esfor\u00e7os de reguladores, advogados de privacidade, e especialistas em seguran\u00e7a simplesmente n\u00e3o podem superar a velocidade da ado\u00e7\u00e3o de novas tecnologias e tend\u00eancias de desvaloriza\u00e7\u00e3o por parte dos usu\u00e1rios.<\/p>\n<p>Inclusive, depois do comprometimento da MongoDB, hackers executaram um ataque gigantesco contra sistemas de gerenciamento de bases de dados distribu\u00eddas. Qualquer uma dessas terminar\u00e1 divulgada online, e a maioria n\u00e3o ser\u00e1 capaz de levantar um dedo contra isso. Trata-se de um conforto raso o fato de que a base de dados comprometida era tempor\u00e1ria, j\u00e1 que seus conte\u00fados eram reais de qualquer forma. Tir\u00e1-la do ar n\u00e3o torna os dados dos prejudicados magicamente privados.<\/p>\n<h2>Dicas para os pais<\/h2>\n<p>Tenha cuidado ao presentear seus filhos com brinquedos eletr\u00f4nicos inteligentes. Fique de olho nos seguintes aspectos:<\/p>\n<ul>\n<li><strong>Se o brinquedo envia dados para a Internet.<\/strong> Muitos brinquedos o fazem e essa tend\u00eancia se estende para bichos de pel\u00facia comuns.<\/li>\n<li><strong>Se voc\u00ea n\u00e3o for capaz de controlar as a\u00e7\u00f5es do brinquedo.<\/strong> Pelo menos a boneca Cayla possui uma luzinha indicando se o microfone est\u00e1 ligado. Com aplicativos mobile, muitas vezes voc\u00ea sequer faz ideia do quando eles come\u00e7am a monitorar. A Kaspersky Lab descobriu que 96% dos aplicativos trabalham em segundo plano, <a href=\"https:\/\/www.kaspersky.com\/blog\/secret-life-of-apps\/14237\/\" target=\"_blank\" rel=\"noopener nofollow\">mesmo aqueles que voc\u00ea n\u00e3o abre. <\/a><\/li>\n<li><strong>Se um brinquedo est\u00e1 equipado com microfone e c\u00e2mera.<\/strong> N\u00e3o s\u00e3o s\u00f3 ursinhos e rob\u00f4s avan\u00e7ados \u2013 essa categoria inclui tamb\u00e9m aplicativos mobile com <a href=\"https:\/\/www.kaspersky.com\/blog\/android-permissions-guide\/14014\/\" target=\"_blank\" rel=\"noopener nofollow\">permiss\u00f5es relevantes<\/a>.<\/li>\n<li><strong>Se o brinquedo pede informa\u00e7\u00e3o pessoal do seu filho ou filha. <\/strong><\/li>\n<li><strong>Se as configura\u00e7\u00f5es s\u00e3o simples demais.<\/strong> Por exemplo, uma conex\u00e3o bluetooth n\u00e3o requer autentica\u00e7\u00e3o.<\/li>\n<\/ul>\n<p>Um desses pontos devia ser suficiente para reconsiderar a rela\u00e7\u00e3o de custo e benef\u00edcio dos dispositivos conectados, levando em conta divers\u00e3o e privacidade.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Voc\u00ea acha que brinquedos infantis conectados s\u00e3o mais seguros que dispositivos para adultos? Melhor repensar.<\/p>\n","protected":false},"author":2049,"featured_media":9101,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,12,1028],"tags":[218,1183,104,830,286,1184,572,53,40,663],"class_list":{"0":"post-9100","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-tips","9":"category-privacy","10":"tag-ameacas","11":"tag-brinquedos","12":"tag-criancas","13":"tag-tips","14":"tag-espionagem","15":"tag-hacks","16":"tag-iot","17":"tag-privacidade","18":"tag-seguranca","19":"tag-servicos-online"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/kids-devices-vulnerabilities\/9100\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/kids-devices-vulnerabilities\/11038\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/kids-devices-vulnerabilities\/9092\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/kids-devices-vulnerabilities\/10405\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/kids-devices-vulnerabilities\/10144\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/kids-devices-vulnerabilities\/14574\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/kids-devices-vulnerabilities\/14679\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/kids-devices-vulnerabilities\/6948\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/kids-devices-vulnerabilities\/6611\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/kids-devices-vulnerabilities\/10074\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/kids-devices-vulnerabilities\/15313\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/kids-devices-vulnerabilities\/14679\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/kids-devices-vulnerabilities\/14679\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/iot\/","name":"IoT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/9100","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2049"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=9100"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/9100\/revisions"}],"predecessor-version":[{"id":13045,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/9100\/revisions\/13045"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/9101"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=9100"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=9100"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=9100"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}