Allarme Smart Toys. FBI: in pericolo la privacy di oltre 800mila bambini.

0
232

Oggi qualsiasi dispositivo in grado di connettersi a internet è potenzialmente violabile dagli hacker, in modo particolare i giocattoli intelligenti, a cui ancora poca attenzione è stata dedicata dal punto di vista della cyber security.

Il rischio è che un hacker possa ottenere il controllo del dispositivo ed acquisire immagini, video e audio dei piccoli alle prese con il giocattolo.

Infatti, i giocattoli smart possono raccogliere numerose informazioni che troppo spesso non si sa dove vengono salvate e soprattutto se il produttore le vende o le cede a terze parti. Una situazione analoga si è verificata qualche mese fa con l’orsacchiotto intelligente CloudPets che ha messo in pericolo la privacy di oltre 800mila bambini.

Attraverso la divisione Internet Crime Complaint Center (IC3), l’FBI ha lanciato un nuovo allarme relativo ai giocattoli collegati a Internet, gli smart toys. Come spiegato nella nota, infatti, i moderni giocattoli possono mettere in pericolo la sicurezza dei minori: “Questi giocattoli tipicamente contengono sensori, microfoni, fotocamere, componenti di archiviazione dati e altre funzionalità multimediali, tra cui riconoscimento vocale e opzioni GPS. Queste caratteristiche potrebbero mettere a rischio la privacy e la sicurezza dei bambini a causa della grande quantità di informazioni personali che potrebbero essere divulgate involontariamente”.

Il Federal Bureau Investigation suggerisce di verificare se il microfono e la fotocamera sono spenti quanto il giocattolo non è utilizzato.

I dati acquisiti per mezzo dei giocattoli tecnologici, comprendono anche dati sensibili dei minori. Spesso l’autorizzazione alla raccolta e trattamento viene fornita attraverso una banale autorizzazione data spesso in maniera distratta, ma la questione più grave è che potrebbe essere prevista anche la cessione degli stessi a soggetti terzi, come le aziende che si occupano del software di riconoscimento vocale incorporato nei giocattoli.

Spesso il microfono di cui sono dotati questi giocattoli può registrare tutte le conversazioni che avvengono nell’ambiente casalingo, come il nome del bambino, i propri gusti, la scuola frequentata e via dicendo, che possono essere facilmente integrati ad altri dati forniti in fase di registrazione, come data di nascita, foto profilo, indirizzo di casa. Il GPS si occupa poi di tracciare costantemente la posizione del bambino in tempo reale, minando ancora una volta la sua sicurezza. Il problema, al di là della cessione dei dati quasi involontaria o comunque non correttamente informata, è rappresentata soprattutto dall’insicurezza della trasmissione dei dati, favorendo quindi l’opportunità a malintenzionati di carpirli e utilizzarli in maniera malevola. La crittazione e i certificati digitali di tutti i dati trasmessi attraverso WiFi o Bluetooth non sarebbero sufficientemente sicuri, fa sapere l’FBI, che sottolinea: “La crittazione della comunicazioni tra giocattolo, access-point WiFi, server Internet che immagazzinano dati o interagiscono con il giocattolo è cruciale per mitigare il rischio di penetrazione di hacker o intercettazioni su conversazioni e messaggi”.

A difesa dei minori e della loro sicurezza, l’FBI ha fornito una serie di accorgimenti da seguire per comprendere se il giocattolo sia o meno sicuro, dall’utilizzo di sole reti WiFi protette all’uso di PIN o password durante il pairing Bluetooth, dall’utilizzo di crittazione dei dati al rilascio di patch e aggiornamenti. Prima di regalare uno smart toy è bene leggere le condizioni d’uso che devono prevedere che le aziende diano informazione circa eventuali cyber-attacchi, notifiche in caso di scoperte di vulnerabilità, la dichiarazione di dove vengono immagazzinati i dati e chi vi ha accesso. Per i genitori è bene garantire la privacy dei propri figli spegnendo il giocattolo quando inutilizzato, impostando password sicure al momento della creazione degli account, evitando di fornire troppi dati se non necessario.

Ecco un esempio di recenti casi criminali che hanno messo in luce molti sospetti al riguardo, legati agli smart toys: My Friend Cayla insignito del premio come miglior giocattolo del 2014 in Norvegia e Svezia, è stato criticato per non prevedere l’inserimento di un PIN durante il pairing con dispositivi Bluetooth, permettendo a chiunque effettuare un’intromissione (tra l’altro anche l’informativa sul trattamento dei dati sarebbe risultata lacunosa). Per questo motivo ne è stata sospesa la vendita in Germania. Altro caso quello di Hello Barbie che un anno prima aveva messo a repentaglio la privacy dei minori con lacune simili di cui era affetto anche il robottino BB-8 di Star Wars. Come non citare CloudPets, simpatici peluche in grado di registrare le voci dei bambini e gestire numerosi altri dati raccolti condividendoli su un database pubblico chiamato MongoDB senza alcun tipo di protezione.

Per ora manca all’appello un caso di vera violazione che veda come vittima i minori,  al momento si parla solo di rischio potenziale.

LEAVE A REPLY

Please enter your comment!
Please enter your name here