Especialistas de segurança cibernética recentemente estudou a segurança de um popular modelo de robô de brinquedo, encontrando problemas importantes que permitiam que atores mal-intencionados fizessem uma chamada de vídeo para qualquer robô, sequestrassem a conta dos pais ou, potencialmente, até mesmo carregassem firmware modificado. Continue lendo para obter os detalhes.
O que um robô de brinquedo pode fazer
O modelo de robô de brinquedo que estudamos é uma espécie de híbrido entre um smartphone/tablet e um alto-falante inteligente sobre rodas que permite sua movimentação. O robô não tem membros, então rolar pela casa é sua única opção para interagir fisicamente com o ambiente.
A peça central do robô é uma grande tela sensível ao toque que pode exibir uma interface de controle, aplicativos de aprendizagem interativos para crianças e um rosto animado e detalhado, semelhante a um desenho animado. Suas expressões faciais mudam com o contexto: para seu crédito, os desenvolvedores fizeram um ótimo trabalho na personalidade do robô.
Você pode controlar o robô com comandos de voz, mas alguns de seus recursos não suportam isso, então às vezes você precisa pegar o robô e cutucá-lo. seu rosto a tela embutida.
Além de um microfone embutido e um alto-falante bastante alto, o robô possui uma câmera grande angular colocada logo acima da tela. Um recurso importante divulgado pelo fornecedor é a capacidade dos pais de fazer videochamadas para seus filhos diretamente através do robô.
Na face frontal, a meio caminho entre a tela e as rodas, há um sensor extra de reconhecimento óptico de objetos que ajuda o robô a evitar colisões. Sendo o reconhecimento de obstáculos totalmente independente da câmera principal, os desenvolvedores adicionaram de forma muito útil um obturador físico que cobre completamente a última.
Então, se você está preocupado com a possibilidade de alguém estar espiando você e/ou seu filho através daquela câmera – infelizmente não sem razão, como aprenderemos mais tarde – você pode simplesmente fechar o obturador. E caso você esteja preocupado com a possibilidade de alguém estar espionando você através do microfone embutido, você pode simplesmente desligar o robô (e a julgar pelo tempo que leva para inicializar novamente, este é um desligamento honesto – não é um modo de suspensão).
Como seria de esperar, um aplicativo para controlar e monitorar o brinquedo está disponível para uso dos pais. E, como você já deve ter adivinhado, está tudo conectado à Internet e emprega vários serviços em nuvem nos bastidores. Se você estiver interessado nos detalhes técnicos, poderá encontrá-los no versão completa da pesquisa de segurança.
Como sempre, quanto mais complexo o sistema, maior a probabilidade de haver falhas de segurança, que alguém possa tentar explorar para fazer algo desagradável. E aqui chegamos ao ponto chave deste post: depois de estudar o robô de perto, encontramos diversas vulnerabilidades graves.
Videochamada não autorizada
A primeira coisa que descobrimos durante nossa pesquisa foi que atores mal-intencionados poderiam fazer videochamadas para qualquer robô desse tipo. O servidor do fornecedor emitiu tokens de sessão de vídeo para qualquer pessoa que tivesse o ID do robô e o ID pai. A identificação do robô não era difícil de usar: cada brinquedo tinha uma identificação de nove caracteres semelhante ao número de série impresso em seu corpo, com os dois primeiros caracteres sendo iguais para cada unidade. E o ID dos pais poderia ser obtido enviando uma solicitação com o ID do robô ao servidor do fabricante sem qualquer autenticação.
Assim, um ator mal-intencionado que quisesse ligar para uma criança aleatória poderia tentar adivinhar o ID de um robô específico ou jogar um jogo de roleta chamando IDs aleatórios.
Sequestro completo de conta parental
Não termina aí. O sistema crédulo permite que qualquer pessoa com um ID de robô recupere muitas informações pessoais do servidor: endereço IP, país de residência, nome da criança, sexo, idade – junto com detalhes da conta dos pais: endereço de e-mail dos pais, número de telefone e código. que vincula o aplicativo parental ao robô.
Isso, por sua vez, abriu a porta para um ataque muito mais perigoso: o sequestro completo da conta dos pais. Um ator mal-intencionado só precisaria seguir algumas etapas simples:
- A primeira teria sido fazer login na conta dos pais a partir do próprio dispositivo, utilizando o endereço de e-mail ou número de telefone obtido anteriormente. A autorização exigia o envio de um código único de seis dígitos, mas as tentativas de login eram ilimitadas, então a força bruta trivial teria resolvido o problema.
- Seria necessário apenas um clique para desvincular o robô da verdadeira conta parental.
- O próximo passo seria vinculá-lo à conta do invasor. A verificação da conta dependia do código de vinculação mencionado acima, e o servidor o enviaria a todos os participantes.
Um ataque bem-sucedido teria resultado na perda de todo o acesso ao robô pelos pais, e para recuperá-lo seria necessário entrar em contato com o suporte técnico. Mesmo assim, o invasor ainda poderia ter repetido todo o processo novamente, pois tudo o que precisava era do ID do robô, que permaneceu inalterado.
Carregando firmware modificado
Finalmente, ao estudarmos a forma como os vários sistemas do robô funcionavam, descobrimos problemas de segurança no processo de atualização de software. Os pacotes de atualização vieram sem assinatura digital e o robô instalou um arquivo de atualização especialmente formatado recebido do servidor do fornecedor sem executar nenhuma verificação primeiro.
Isso abriu possibilidades para atacar o servidor de atualização, substituindo o arquivo por um modificado e carregando firmware malicioso que permite ao invasor executar comandos arbitrários com permissões de superusuário em todos os robôs. Em teoria, os atacantes teriam então sido capazes de assumir o controle sobre os movimentos do robô, usar as câmeras e microfones embutidos para espionar, fazer chamadas para robôs e assim por diante.
Como se manter seguro
Esta história tem um final feliz, no entanto. Informamos os desenvolvedores do brinquedo sobre os problemas que descobrimos e eles tomaram medidas para corrigi-los. As vulnerabilidades descritas acima foram todas corrigidas.
Para encerrar, aqui estão algumas dicas sobre como se manter seguro ao usar vários dispositivos inteligentes:
- Lembre-se de que todos os tipos de dispositivos inteligentes — até mesmo brinquedos — são tipicamente sistemas digitais altamente complexos cujos desenvolvedores muitas vezes não conseguem garantir o armazenamento seguro e confiável dos dados do usuário.
- Ao comprar um dispositivo, leia atentamente os comentários e análises dos usuários e, de preferência, quaisquer relatórios de segurança, se puder encontrá-los.
- Tenha em mente que a mera descoberta de vulnerabilidades num dispositivo não o torna inferior: os problemas podem ser encontrados em qualquer lugar. O que você precisa procurar é a resposta do fornecedor: é um bom sinal se algum problema foi corrigido. Não é bom se o fornecedor parecer não se importar.
- Para evitar ser espionado ou escutado por seus dispositivos inteligentes, desligue-os quando não os estiver usando e coloque um obturador ou fita na câmera.
- Finalmente, nem é preciso dizer que você deve proteger os dispositivos de todos os membros da sua família com um solução de segurança confiável. Um hack de robô de brinquedo é reconhecidamente uma ameaça exótica – mas a probabilidade de encontrar outros tipos de ameaças online ainda é muito alta atualmente.
