Le funzionalità Internet-dipendenti dei cosiddetti “smart toy” offrono nuove capacità di offesa a cracker e cyber-criminali al passo coi tempi, e i ricercatori sono già attivamente impegnati a scoprire le vulnerabilità della nuova categoria di giocattoli hi-tech realizzati da produttori grandi e piccoli.
L’ultima ricerca in tal senso di Rapid7 ha ad esempio portato alla luce due set di vulnerabilità in un orsetto imbottito marcato Fisher-Price e in un braccialetto GPS di hereO, due prodotti destinati all’utenza dei più piccoli che però nascondono rischi per la privacy di cui gli adulti dovrebbero essere consapevoli.
Per quanto riguarda la linea di peluche smart di Fisher-Price, le vulnerabilità identificate dagli analisti avrebbero potuto compromettere i dati personali dei bambini (nome, data di nascita, genere ecc.) a causa della gestione errata del processo di autenticazione tramite rete WiFi.
Nei braccialetti hereO, invece, la API telematica è fallata e permette di aggiungere un account compromesso al gruppo di account appartenente a una famiglia e infine di spiare tutte le attività degli appartenenti al gruppo o persino di inviare loro messaggi.
La privacy e le identità digitali degli utenti che acquistano i nuovi giocattoli o gadget Internet-dipendenti è sempre più a rischio, avvertono i ricercatori di Rapid7, un allarme piuttosto in tono con gli sviluppi tecnologici degli ultimi anni e in linea con le previsioni di una Internet delle Cose del futuro che comunicherà quasi completamente “in chiaro”.
Cracker e criminali avranno di che lavorare nella raccolta e nell’abuso dei dati utente della IoT insicura, anzi sono già attivamente impegnati in questo genere di attività sulle piattaforme online vulnerabili e sulle versioni smart dei classici dell’infanzia in chiave connessa.
Alfonso Maruccia