Conectados à internet, esses brinquedos fofos podem atrair um hacker para dentro de casa

My Friend Cayla ('minha amiga Cayla'), uma boneca com cabelos loiros até a cintura que fala e responde às perguntas das crianças, foi pensada para trazer alegria aos lares. Mas tem algo mais que Cayla pode trazer para dentro das casas: hackers e ladrões de identidade. 

No começo deste ano, a Agência Federal de Redes da Alemanha, a agência regulatória do país, classificou Cayla como “um aparato ilegal de espionagem” e recomendou que os pais que tivessem uma a destruíssem. Os varejistas locais receberam a ordem de somente vender a boneca se desativassem sua função de conexão à internet, que é o que também permite a entrada de hackers. E o Conselho do Consumidor da Noruega disse que Cayla era um “brinquedo que não deu certo”. 

Essa boneca não é a única. Com a temporada de compras de Natal chegando ao delírio de seus últimos dias, muitos fabricantes estão promovendo brinquedos “conectados” para segurar o interesse das crianças. Os consumidores também têm a opção de um smartwatch infantil, um robô do filme mais recente da franquia “Star Wars” e um Furby.

Todas essas geringonças podem se conectar com a internet para interagir com as crianças—uma boneca Cayla pode sussurrar em vários idiomas que ela é ótima em guardar segredos, enquanto um boneco de pelúcia Furby Connect sorri e dá risadas quando recebe cócegas. 

Mas uma vez que qualquer coisa se conecta à internet, ela fica exposta a hackers, que procuram por pontos vulneráveis para obter acesso a dispositivos conectados digitalmente. Uma vez que os hackers conseguem entrar, eles podem usar câmeras e microfones dos brinquedos para ver e ouvir qualquer coisa que os brinquedos consigam ver e ouvir. Como resultado, de acordo com especialistas em ciber-segurança, os brinquedos podem ser usados para espionar os pequenos ou rastrear sua localização. 

“Os pais precisam estar cientes do que estão comprando e trazendo para casa para seus filhos”, disse Javvad Malik, pesquisador da empresa de ciber-segurança AlienVault. “Muitos desses dispositivos que se conectam à internet têm formas triviais de contornar a segurança, então as pessoas precisam estar cientes do que estão comprando e de quão seguros são os produtos.” 

O problema não é novo, mas tem crescido à medida que os fabricantes vão introduzindo uma gama maior de brinquedos que se conectam à internet, parte de uma tendência geral de eletrônicos “inteligentes”. Cerca de 8,4 bilhões de “coisas conectadas” estão sendo usadas em todo o mundo este ano, de acordo com estimativas da empresa de pesquisas Gartner, 31% a mais do que em 2016, com uma projeção de atingir 20,4 bilhões até 2020. 

Sarah Jamie Lewis, pesquisadora independente de ciber-segurança que testou brinquedos antes das festas de final de ano, disse que muitos dos produtos não apresentavam as medidas básicas para garantir que suas comunicações e as informações de uma criança fossem protegidas.

Ela disse que os brinquedos agiam como “dispositivos de espionagem sem controle” porque os fabricantes não incluíram um processo que permita que o brinquedo se conecte à internet somente através de dispositivos confiáveis. 

Um exemplo é o boneco Furby Connect fabricado pela Hasbro, uma geringonça peluda no formato de ovo que é vendido nas cores verde-azulado, rosa e roxo. Pesquisadores da Which?, uma instituição beneficente britânica, e o grupo de consumidores alemão Stiftung Warentest descobriram recentemente que a função Bluetooth do Furby Connect poderia permitir que qualquer um a menos de 30 metros do boneco consiga interceptar a conexão e usá-la para ligar o microfone e falar com as crianças. 

Outro exemplo é o Q50, um smartwatch para crianças. Vendido como uma forma de ajudar os pais a se comunicarem facilmente com seus filhos e monitorá-los, o relógio tem bugs que poderiam permitir que hackers “interceptem todas as comunicações, ouçam remotamente o que acontece em torno da criança e consigam descobrir a localização da criança”, segundo um relatório da Top10VPN, um centro de defesa do consumidor, divulgado este mês. 

E o robô BB-8, que foi lançado com o “Os Últimos Jedi” este mês, também tinha uma conexão por Bluetooth não segura, de acordo com os testes de Lewis. 

A SinoPro, a fabricante chinesa do relógio Q50, e a Genesis, fabricante da boneca Cayla, não quiseram comentar. A Sphero, fabricante do robô BB-8, disse que o brinquedo “tem segurança adequada”. A Hasbro disse que o Furby Connect obedece à lei federal de privacidade online para crianças, e que contratou testadores independentes para realizar testes de segurança no brinquedo e no aplicativo. 

Há muito tempo que fabricantes de brinquedos procuram formas de dar vida aos brinquedos para as crianças. Embora microfones e câmeras tenham introduzido algum nível de interatividade, em geral essas interações se limitavam a uma resposta pronta criada pelo fabricante. As conexões pela internet abriram um leque de possibilidades; agora os brinquedos podem ser pareados com um computador ou um celular para permitir que as crianças possam atualizar constantemente seus brinquedos com novas funções. 

A boneca My Friend Cayla, por exemplo, usa um software de reconhecimento de voz em conjunto com o tradutor do Google. O microfone da boneca grava as falas e depois as transmite para a internet, uma função que a deixa vulnerável para hackers, de acordo com pesquisadores em ciber-segurança.

Se o dono da boneca não determina um celular ou tablet específico com o qual a boneca deve se conectar, qualquer um que esteja a menos de 15 metros do brinquedo pode usar a conexão por Bluetooth para ter acesso a ela. Pesquisadores de segurança também questionaram que tipo de dados a boneca coleta e como os dados são usados. 

No ano passado, um ataque cibernético contra a VTech Holdings, uma fabricante de brinquedos digitais, expôs os dados de mais de 6,4 milhões de pessoas, incluindo nomes, data de nascimento e gênero, no maior vazamento conhecido até hoje tendo crianças como alvo. 

Para pais que estejam pensando em atender aos pedidos de seus filhos para o Natal, o primeiro passo é conhecer os riscos envolvidos em brinquedos conectados à internet. No começo deste ano, o FBI emitiu um alerta sobre esses brinquedos, aconselhando os pais a prestarem atenção à forma como o brinquedo se conecta à internet. Se o brinquedo se conecta sem fio através do Bluetooth, ele deve exigir algum tipo de número PIN ou senha, para se certificar de que a conexão seja segura. 

O FBI também recomenda que os brinquedos conectados possam receber atualizações dos fabricantes para que eles se mantenham seguros. E se um brinquedo armazena dados, os pais devem investigar o local onde esses dados são armazenados e qual o grau de segurança com que a empresa guarda os dados de seus clientes. 

Em uma loja da Target este mês em Emeryville, na Califórnia, Sarah Lee, 37, mãe de três filhos, disse que estava repensando suas escolhas de presentes para seus filhos depois de ouvir sobre os riscos dos brinquedos conectados. 

“É muito assustador. Não fazia ideia de que isso era possível”, ela disse. “Qual a pior coisa que os hackers podem fazer? Não, não me fale. Prefiro dar um brinquedo tradicional para meus filhos.”