Una nuova ricerca ha scoperto che molti dei principali giocattoli abilitati a Internet contengono difetti di sicurezza che consentono agli hacker di parlare direttamente a un bambino, spingendo i rivenditori a ritirare i prodotti interessati dagli scaffali prima di Natale fretta.
Il rapporto di Quale?, supportato dal gruppo di consumatori tedesco Stiftung Warentest e da un gruppo di esperti di sicurezza, ha scoperto che il I giocattoli Furby Connect, i-Que Intelligent Robot, Toy-Fi Teddy e CloudPets erano tutti sensibili a questo hackerare.
I giocattoli si affidano alle connessioni Bluetooth per abilitare alcune delle loro funzionalità, incluso l'uso della voce di un giocattolo per la riproduzione qualsiasi cosa digitata in una casella di testo, ma si è scoperto che questi erano stati configurati in modo errato e di conseguenza potevano essere facilmente violato.
Queste connessioni non sicure significavano che i ricercatori non avevano bisogno di una password o di un PIN per accedere al dispositivo e che era necessario pochissimo know-how tecnico per assumere il controllo del modulo vocale.
Vedi correlati
Il Bluetooth è in genere limitato a una distanza di 10 metri, il che significa che è probabile che qualsiasi minaccia immediata provenga da qualcuno nelle vicinanze. Tuttavia, il rapporto evidenzia che il raggio potrebbe essere esteso e rilevato da hacker più lontani, ad esempio in un veicolo su una strada vicina.
Si è scoperto che il Furby Connect, forse il giocattolo più noto della lista, conteneva il difetto Bluetooth che permetteva a chiunque si trovasse nel raggio d'azione di connettersi al giocattolo. I ricercatori sono stati quindi in grado di caricare un file audio personalizzato sul giocattolo, che potrebbe essere qualsiasi cosa data la mancanza di restrizioni, incluso materiale inappropriato.
Il produttore di Furby Hasbro ha detto a Which? che prende il rapporto "molto sul serio", sebbene affermi che gli exploit scoperti richiederebbero a qualcuno di riconfigurare il firmware del dispositivo, cosa che richiederebbe conoscenze specialistiche.
Il Toy-fi Teddy, disponibile su Amazon e numerosi altri rivenditori online, consente ai bambini di inviare e ricevere messaggi registrati creati utilizzando un'app per smartphone o tablet. Si è scoperto che gli hacker potevano inviare i propri messaggi vocali al giocattolo e ricevere le risposte dal bambino.
È stato anche scoperto che gli hacker potevano assumere il controllo dell'unità vocale nei giocattoli CloudPets che consentiva loro non solo di parlare con i bambini, ma anche di impartire comandi a un altoparlante Amazon Echo nelle vicinanze.
Questa non è la prima volta che CloudPets viene accusato di non riuscire a proteggere i propri utenti. All'inizio di quest'anno è stato scoperto che quasi 2,2 milioni di registrazioni vocali creati da bambini e archiviati su giocattoli CloudPets erano trapelati online.
Alphr ha chiesto un commento a Spiral Toys, che produce Toy-fi Teddy, e CloudPets, ma le società devono ancora rilasciare un commento sul rapporto di Which?.
Argos, che vende Furby Connect e I-Que Intelligent Robot, ha dichiarato in una dichiarazione: "Non abbiamo ricevuto reclami su questi prodotti, ma siamo in stretto contatto con i produttori, che li stanno già esaminando raccomandazioni.”
Il problema riflette una preoccupazione più ampia nel settore della sicurezza che le protezioni di base vengano ignorate nel tentativo di eliminare il maggior numero possibile di dispositivi connessi.
All'inizio di quest'anno, Symantec EMEA CTO Darren Thomson rimarcato che finora l'industria della sicurezza aveva "fondamentalmente fallito" nell'educare le persone ai rischi dell'hacking dell'IoT e che l'idea che gli utenti finali avrebbero avuto l'inclinazione a controllare che i loro dispositivi fossero sicuri era evidentemente errata.
Quale? ha chiesto che tutti i giocattoli connessi con noti problemi di privacy o sicurezza vengano ritirati dalla vendita prima che i genitori inizino i loro acquisti natalizi.
Alex Neill, amministratore delegato dei prodotti per la casa di Which?, ha dichiarato: “I giocattoli connessi stanno diventando sempre più popolari, ma come dimostra la nostra indagine, chiunque stia pensando di acquistarne uno dovrebbe applicare un livello di cautela. La sicurezza e la protezione dovrebbero essere la priorità assoluta con qualsiasi giocattolo. Se ciò non può essere garantito, i prodotti non dovrebbero essere venduti.
Immagine: Teddy Toy-fi
