Giocattoli intelligenti: scoperte (e risolte) vulnerabilità in Smart Toy e hereO GPS

Falle di sicurezza nei servizi web avrebbero permesso a malintenzionati di accedere a nomi, date di nascita, genere e persino posizione dei bambini che utilizzano i dispositivi connessi

Lo smartwatch hereO GPS al polso di un bambino

Negli ultimi due anni gli esperti di sicurezza hanno dimostrato che molti giocattoli “intelligenti” connessi a Internet non sono stati progettati pensando alla sicurezza.

L’ultimo esempio sono i difetti trovati nei servizi web gestiti da produttori di giocattoli intelligenti, che potrebbero esporre le informazioni personali dei bambini.

I ricercatori della società di sicurezza Rapid7 hanno trovato gravi vulnerabilità nelle interfacce di programmazione delle applicazioni Web (API) utilizzate dalla linea di animali interattivi Smart Toy e dallo smartwatch per bambini hereO GPS.

Nel caso dei dispositivi Smart Toy, i ricercatori hanno scoperto che il servizio web del produttore non convalidava correttamente le richieste ricevute. Attraverso le API esposte, chi inviava una richiesta poteva raggiungere tutti i clienti e rintracciare il loro ID giocattolo, nome, tipo e profilo associato al bambino; poteva accedere ai profili di tutti i bambini, compresi i loro nomi, date di nascita, genere e lingue parlate; era possibile scoprire quando un genitore o un bambino stava interagendo con il giocattolo, e associare il giocattolo di qualcuno a un account diverso.

In generale, la possibilità che una persona non autorizzata acquisisca anche minimi dettagli su un bambino (per esempio nome, data di nascita, sesso, lingua parlata) è qualcosa che preoccuperebbe la maggior parte dei genitori”, ha dichiarato Mark Stanislav, ricercatore di Rapid7, in un post. “Nello specifico, i nomi e le date di nascita nominalmente non sono dati segreti, ma potrebbero essere combinati in seguito con un profilo più completo del bambino al fine di agevolare campagne dannosi contro il bambino o chi si occupa di lui”.

L’orologio hereO GPS permette ai membri di una famiglia di tenere traccia della posizione e delle attività di ciascuno e di effettuare altre interazioni, come inviare messaggi. Il servizio web utilizzato dalla piattaforma fornisce una API per invitare una persona ad aggiungersi un gruppo familiare esistente, ma non effettuava la verifica corretta.

La vulnerabilità avrebbe potuto permettere a un utente malintenzionato di aggiungere un proprio account a un gruppo familiare esistente e confermare la sua aggiunta a nome della famiglia. “L’utente malintenzionato poteva quindi accedere alla posizione attiva di ogni membro della famiglia, così come alla cronologia delle posizioni, e poteva sfruttare altre funzionalità della piattaforma”, ha spiegato Stanislav.

Le vulnerabilità trovate in entrambi i dispositivi Smart Toy e hereO sono stati segnalate ai rispettivi produttori, con l’aiuto della divisione CERT della Carnegie Mellon University. Dal momento che questi problemi erano sul lato server, sono stati risolti direttamente dai produttori sui propri server e i dispositivi in attualmente in uso non richiedono aggiornamenti firmware.