I giocattoli tecnologici sono pericolosi. Ecco perché e come difendersi

I giochi per i bambini si rivelano un obiettivo di attacchi hacker. Ecco cosa bisogna sapere per proteggere i più piccoli, evitando allarmismi e traendo il massimo dalla nuova generazione di giochi smart e connessi

I Kidizoom Smartwatches della Vtech esposti in un negozio di Hong Kong, China. I giocattoli della società sono stati oggetto di un attacco hacker. Credit: Tyrone Siu/Reuters

I giocattoli sono pericoli. No, non mi riferisco a giochi con materiali tossici o piccole parti che possono essere ingerite. Sto parlando del pericolo di attacchi hacker, una nuova minaccia alla sicurezza dei bambini. Naturalmente, giocattoli smart e connessi possono essere divertenti per i bambini, e anche sicuri. Ma la nuova generazione di giocattoli può comportare seri rischi. E, nelle scorse settimane, questi rischi sono diventati realtà.

Una società di Hong Kong, la VTech, ha subito un attacco hacker il 14 novembre. VTech produce un’ampia gamma di dispositivi elettronici per il mercato consumer ed è uno dei più produttori al mondo di giocattoli. Alcuni dei suoi giochi incoraggiano all’uso del programma Kid Connect, che permette ai bambini di chattare con i genitori e scaricare contenuti.

la violazione ha colpito 6.368.509 bambini e 4.854.209 genitori, più della metà dei quali in Europa e Stati Uniti

L’hacker che ha lanciato l’attacco ha raccontato i dettagli al magazine online Motherboard, chiedendo di restare anonimo, e ha spiegato che il suo obiettivo era mostrare lo scarso livello di sicurezza di VTech. L’hacker è stato in grado di rubare nomi, indirizzi mail, indirizzi IP e scaricare storie, sesso e data di nascita dei bambini, fotografie, conversazioni tra i bambini e i genitori, e molto altro. Secondo i report, la violazione ha colpito 6.368.509 bambini e 4.854.209 genitori. Più della metà di questi bambini risiedono negli Stati Uniti e in Europa.

In questo articolo, presento una visione ottimista dell’attacco e una pessimista. Esamino la portata di questi nuovi rischi per i bambini e condivido qualche consiglio, che probabilmente non avete mai sentito, per proteggere i bambini.

L’ipotesi migliore

Il caso migliore è che un singolo hacker, con senso morale, riveli le vulnerabilità nella sicurezza di VTech. Messa in imbarazzo dalle rivelazioni, l’azienda sarà costretta a una radicale revisione delle sue pratiche di sicurezza e a proteggere i dati dei suoi clienti in modo che sia praticamente impossibile comprometterli di nuovo, in futuro.

Di fatto, VTech ha già contattato l’unità Mandiat di FireEye per aiutarla a rendere sicura la sua infrastruttura. In altre parole, questo evento non ha provocato alcun danno.

Questo è il caso ottimista. Vediamo adesso quello pessimista.

L’ipotesi peggiore

Dato che il sistema di sicurezza di VTech si è dimostrato così debole, è possibile che tutti i dati violati in questo attacco siano già stati rubati, in precedenza, da hacker senza scrupoli.

L’evidenza suggerisce che io non sono la sola persona esterna a VTech che può aver avuto accesso ai dati”, ha detto l’hacker a Motherboard.

Questi dati possono essere venduti o diffusi gratuitamente nel “dark web” a pedofili, che possono scegliere le loro vittime sfogliando le foto. Potrebbero sapere tutto su questi bambini allo scopo di adescarli o sfruttarli, e potrebbero utilizzare gli indirizzi di residenza trovati nel database per individuarli, approfittare di loro e anche attaccarli.

Il caso peggiore è che le cattive policy e infrastrutture di sicurezza di VTech abbiamo dato la possibilità a malintenzionati di commettere crimini contro i bambini.

Rischi che passano inosservati

Il caso VTech va considerato come un campanello d’allarme. Una incredibile varietà di giocattoli e prodotti per bambini sono computer connessi in rete. In molti casi, fanno esattamente ciò che fanno i giocattoli tradizionali: consentono ai bambini di emulare il comportamento degli adulti. Ma, diversamente da giochi come il Dolce Forno della Hasbro o una macchinina, per esempio, i giocattoli di oggi simulano computer portatili, smartphone o altri gadget da cui sono ossessionati i genitori stessi.

Anche nei giochi più tradizionali viene integrata la connessione a Internet. Il caso più clamoroso in questa stagione natalizia è la vendutissima bambola Hello Barbie della Mattel.

Hello Barbie può conversare con i bambini. La bambola si connette in Wi-Fi alla rete domestica e si comporta più o meno come Siri di Apple. I bambini possono porre domande (dopo aver premuto un bottone sulla bambola), e le loro voci vengono registrate, compresse e inviate a server remoti gestiti da una società di San Francisco, ToyTalk, dove software di intelligenza artificiale analizzano le parole, elaborano una risposta e la inviano alla bambola attraverso Internet.

Un’app per lo smartphone permette ai genitori di monitorare (e cancellare) le conversazioni tra i loro bambini e Hello Barbie. I dati sono memorizzati sul telefono, che si connette a Hello Barbie come se la bambola fosse un hub Wi-Fi domestico.

Nonostante l’app Hello Barbie offra ai genitori parental control e serenità, è stata duramente criticata. Esperti di sicurezza hanno rilevato che l’app Hello Barbie si connette a qualsiasi hub Wi-Fi che contenga la parola “Barbie” nel suo nome, e quindi è piuttosto facile per hacker malevoli riuscire a connettersi al telefono e accedere ai dati memorizzati dall’app Hello Barbie.

l’app Hello Barbie si connette a qualsiasi hub Wi-Fi che contenga la parola “Barbie” nel suo nome

Mentre i dati che transitano per il server, la bambola e l’app utilizzano una cifratura basata su certificati, i metodi usati da ToyTalk non sono sicuri. Sono emerse molte vulnerabilità nell’intero sistema Hello Barbie. Per esempio, i report sostengono che tutte le app delle bambole Hello Barbie utilizzano la stessa password per verificare il certificato.

Mattel e ToyTalk hanno prontamente reagito alle segnalazioni di vulnerabilità di sicurezza, affrontando e risolvendo molte di esse.

Hello Barbie permette ai bambini di chattare con i genitori attraverso un programma di intelligenza artificiale che si trova in un data center remoto
Hello Barbie permette ai bambini di chattare con i genitori attraverso un programma di intelligenza artificiale che si trova in un data center remoto

Ma ecco la vera lezione che impariamo dal caso di Hello Barbie: poiché la Barbie è un’icona e il giocattolo è molto diffuso, è sempre sotto attento esame. Hello Barbie è un’eccezione di come la sicurezza dei giocattoli è normalmente gestita.

Così, mentre il pubblico è super preoccupato di Hello Barbie, e le società coinvolte sono state straordinariamente sensibili a queste preoccupazioni, ci sono migliaia di altri giocattoli che passano inosservati. E proprio questi rappresentano una reale minaccia: non sono sotto “stretta sorveglianza” come Hello Barbie, e le aziende che li producono non risolvono i potenziali problemi di sicurezza.

Si possono però adottare misure per proteggere i propri figli contro queste nuove minacce alla sicurezza.

Come proteggere i bambini dai giocattoli “hackerabili”

Il nuovo mondo di giocattoli intelligenti e connessi richiede una nuova attenzione da parte dei genitori. Tutti abbiamo sentito i consigli standard per i consumatori circa la privacy e la sicurezza dei prodotti connessi. Per proteggere i bambini, ho tre ulteriori consigli che probabilmente non avete mai sentito prima.

  1. Utilizzate una casella postale come indirizzo per pagamenti e consegne

    Molti giocattoli consentono di acquistare funzioni, contenuti e servizi aggiuntivi. Quando si paga con carta di credito, viene richiesto di fornire un indirizzo per la fatturazione e uno per la consegna, e di solito coincidono entrambi con il vostro indirizzo di casa. Tali informazioni vengono generalmente aggregate con i dati personali che le aziende memorizzano.Quando ci sono di mezzo bambini, l’indirizzo di casa è l’informazione più pericolosa. Anziché fornire quello, utilizzate una casella postale, così non dovete preoccuparvi di hacker malintenzionati che possono risalire all’indirizzo del vostro bambino.

  2. Non fidatevi dei parental control

    I parental control possono essere sicuri, ma possono anche rappresentare il miglior punto di accesso per gli hacker. Vedetela in questo modo: se i dati a cui avete accesso voi, come genitori, sono protetti solo da una password, o sono accessibili online o da reti wireless, allora anche gli hacker potrebbero essere in grado di ottenere l’accesso a tali dati.Per alcuni prodotti, i bambini potrebbero essere più protetti se non si utilizzano questi parental control.

  3. Insegnate la sicurezza ai bambini

    La più grande minaccia alla sicurezza dei bambini è la loro ignoranza.Abbiamo raggiunto una fase nell’evoluzione della tecnologia in cui i consumatori possono acquistare e utilizzare sofisticati prodotti, compresi i giocattoli, che non vengono visti come computer.Bisogna aiutare i bambini a diventare esperti di tecnologia, in modo che siano meglio attrezzati per pensare ai rischi per la loro sicurezza. Capire come funziona qualcosa è il modo migliore per capire anche le sue debolezze.

Perché i giocattoli sono particolarmente a rischio

Giocattoli intelligenti e connessi possono essere ottimi per i bambini, ma solo se proteggono la privacy di genitori e figli.

I giocattoli diventano pericolosi a causa della cultura, non della tecnologia in essi integrata. In linea teorica, giocattoli intelligenti e connessi non sono diversi da qualsiasi altro dispositivo di elettronica di consumo.

La differenza è che le aziende di giocattoli possono essere meno attente alla sicurezza rispetto alle aziende in cui la tecnologia è l’attività principale. Inoltre, i genitori e i bambini che acquistano o utilizzano questi giocattoli tendono a considerare i benefici della tecnologia, senza mai considerarne i rischi.

Non permettete che questo accada anche a voi e alla vostra famiglia. Puntate invece a conoscere i rischi, comprendere la tecnologia impiegata, essere informati sulla nuova generazione di giocattoli connessi.