Os brinquedos que falam e respondem ao que lhes é dito têm evoluído nos últimos anos – e são dos presentes preferidos das crianças um pouco por todo o mundo. Mas num mundo cada vez mais eletrónico, a pirataria tem acompanhado esta evolução e tornou também este tipo de produtos um risco à privacidade dos mais novos.

Um grupo de investigadores encontrou agora uma série de falhas de segurança por detrás da “Hello Barbie”, um novo produto da famosa boneca ligada à Internet que ouve o que as crianças lhes dizem e utiliza inteligência artificial para responder, diz o Washington Post. O relatório da Bluebox Security e de um investigador de segurança independente Andrew Hay, concluiu que as fragilidades da aplicação móvel e do armazenamento eletrónico utilizado na boneca permite aos piratas informáticos terem acesso às conversas das crianças.

Um porta-voz da empresa Mattel, responsável pelo fabrico da Barbie, Michelle Chidoni, deu resposta através de um comunicado: “Estamos conscientes em relação ao relatório da Bluebox Security e estamos a trabalhar com a ToyTalk  para garantir a segurança e proteção da Hello Barbie”.

A ToyTalk, que é a empresa por detrás das vozes da Hello Barbie, contou ao Washington Post, através de um dos seus fundadores e chefe do departamento de tecnologia, Martin Reddy, que já estão a trabalhar com a Bluebox e que “já foram corrigidas muitas das questões que foram levantadas”. Por seu lado, os investigadores responsáveis pelo documento confirmaram também que a ToyTalk foi informada sobre a situação no passado mês do novembro e que esta foi muito recetiva às conclusões da investigação.

Como funciona esta Barbie

Esta boneca tem um botão na zona da barriga que grava o que as crianças dizem depois de se carregar. De seguida a gravação é enviada através da Internet para um servidor que processa a mensagem e escolhe a resposta de entre milhares de respostas gravadas anteriormente. Para isto acontecer os pais têm que aprovar os termos de utilização do produto na altura da sua compra – que é enviada digitalmente. E é aqui que começam a surgir os problemas.

Os investigadores afirmam que as descobertas estão relacionadas com o facto de a aplicação ter numerosas falhas de segurança, incluindo estes certificados digitais que os pais devem aprovar aquando da compra do produto. Ora, este documento deveria confirmar a legitimidade da ligação entre a boneca e a aplicação, utilizando-se para isso uma password codificada. O problema é que, e como explica o jornal americano, todas as aplicações deste sistema usam a mesma password como parte do processo de verificação e, por isso, se um atacante descobre essa chave, forma-se a possibilidade de criação de uma aplicação fraudulenta que pode vir a ter acesso a dados como registos audio que são registados pela boneca e enviados para os servidores da ToyTalk.

Mas, e como diz o Washington Post, estas notícias começaram a ganhar destaque depois de a marca sediada em Hong Kong que vende brinquedos, VTech, ter encontrado uma falha grave no seu sistema que permitiu a publicação dos perfis de 6 milhões de crianças de todo o mundo. Por isso, Andrew Blaich, o principal analista de segurança da Bluebox, explica que “é muito importante que, se quiser utilizar estes brinquedos conectados, não interessa se é uma boneca ou um tablet, você tem que ser muito cuidadoso acerca da informação que é enviada para e dos servidores”.

No entanto, Martin Reddy, esclarece que “o ataque só é possível durante os poucos minutos durante os quais o utilizador conecta a boneca à sua rede de WiFi e, mesmo que consiga contornar este processo, o atacante não tem acesso às passwords do WiFi, nem acesso aos registos de audio da criança, e não consegue alterar o que a boneca diz”.