Pesquisadores da Universidade de Ciências Aplicadas de Münster, na Alemanha, publicaram recentemente os resultados de uma pesquisa sobre a segurança de smartwatches para crianças de seis marcas diferentes, no qual descobriram várias falhas críticas de segurança que podem ser exploradas por cibercriminosos. Segundo um artigo publicado pela revista estadunidense Wired, os dispositivos analisados são projetados para enviar e receber mensagens de voz e texto e permitir que os pais rastreiem a localização de seus filhos a partir de um aplicativo. Porém, após a realização dos testes, os pesquisadores descobriram vulnerabilidades que permitem a um atacante se aproveitar dessas funções para monitorar a localização de crianças a partir do GPS de cinco das seis marcas analisadas. Como se não bastasse, “descobriram outras vulnerabilidades ainda mais graves e que permitem a um cibercriminoso enviar mensagens de texto e voz para crianças, interceptar mensagens entre pais e filhos e gravar áudios do ambiente”, explica o artigo.
Leia também: Privacidade desde a concepção: é possível criar uma casa inteligente segura?
As marcas dos modelos dos smartwatches analisados são Starlian, JBC, Polywell, Pingonaut, ANIO e Xplora. Esta não é a primeira vez que falhas de segurança são descobertas em dispositivos IoT para crianças. Em 2016, por exemplo, pesquisadores descobriram vulnerabilidades em brinquedos de pelúcia da Fisher-Price e no relógio GPS hereO que expunham dados e a localização dos usuários, enquanto em 2017, o Conselho de Consumidores da Noruega revelou em um estudo realizado também em smartwatches para crianças, a existência de falhas de segurança. As vulnerabilidades descobertas neste caso específico foram relatadas aos fabricantes e muitas delas foram corrigidas.
No caso dos dispositivos inteligentes dos fabricantes JBC, Polywell, ANIO e Starlian, os smartwatches usam uma arquitetura de hardware e de back-end do mesmo fabricante, que é uma empresa chinesa chamada 3G Electronics. Segundo os pesquisadores, após a realização dos testes nos relógios dessas quatro marcas, foi possível descobrir que as comunicações com o servidor (que envia e recebe informações entre o dispositivo e o aplicativo instalado nos telefones dos pais) não eram criptografadas e nem mesmo contavam com mecanismos de autenticação. Portanto, uma vez que cada um desses smartwatches vem com um IMEI que funciona como um identificador único, um atacante com esse identificador pode se aproveitar dessas falhas para alterar a comunicação enviada do relógio para o servidor e modificar as informações de localização, mas também pode espionar comunicações gravando sons através do smartwatch e até mesmo enviar uma mensagem de voz fazendo com que os pais acreditem que foi enviada do dispositivo de seu filho.
O ANIO4 touch apresentou falhas de autenticação na comunicação com o servidor que permitem a um atacante se conectar ao servidor usando credenciais de login legítimas, falsificar sua identidade para enviar comandos se fazendo passar por outro usuário. Da mesma forma, isso pode permitir a um atacante obter informações de localização e interceptar ou se passar por alguém por meio de mensagens de texto ou áudio, explica a revista. Algo semelhante também ocorre com o smartwatch da Pingonat, mais especificamente o Panda 2, que, pela falta de criptografia na comunicação com o servidor, permitiu que os pesquisadores pudessem interceptar mensagens e alterar dados de localização.
As falhas de segurança de responsabilidade da 3G Electronics foram corrigidas, bem como as vulnerabilidades nos smartwatches JBC e Polywell. No caso dos relógios do fabricante Starlian, ainda há falhas relatadas. No caso do Panda 2, os fabricantes disseram aos pesquisadores que acrescentariam a criptografia TLS para proteger as comunicações de seus novos modelos.
Alguns dos smartwatches analisados possuem falhas que devem ser corrigidas, mas que não são vulnerabilidades críticas, como no caso do modelo Panda 2 da Pingonaut. Algo semelhante aconteceu com o XPLORA GO, no qual não foram encontradas falhas críticas. Porém, no caso do ANIO4 Tocuch, por exemplo, a falta de implementações de segurança é algo grave.
Como muitos leitores sabem, a segurança em dispositivos IoT tem sido algo que gera diversas preocupações. Algumas das falhas apresentadas nesse estudo já foram detectadas em estudos anteriores, como o realizado em 2017 pelo Conselho de Consumidores da Noruega, que revelou a existência de falhas de segurança em smartwatches para crianças. No entanto, isso não fez com que os fabricantes realizassem análises de segurança mais rígidas em seus produtos. Esse fato demonstra a necessidade de ações contínuas para melhorar a implementação da segurança em dispositivos inteligentes por meio de medidas promovidas pelas autoridades, por exemplo.
Leia também: Legislar sobre a segurança dos dispositivos IoT é realmente a solução?