À medida que os dispositivos da Internet das Coisas (IoT) continuam a se popularizar e oferecem uma gama cada vez mais ampla de recursos, novas preocupações começam a surgir sobre a segurança dos dados processados por esses dispositivos. Embora tenham sido sujeitos a inúmeras violações de segurança que levaram à exposição dos detalhes de login, informações financeiras e localização geográfica das pessoas, entre outros, existem poucos tipos de dados com maior potencial para prejudicar os usuários do que aqueles relacionados às suas preferências sexuais e comportamento. O alerta foi dado nesta quinta-feira (11/3) por pesquisadores da empresa de segurança Eset, que publicaram um White Paper no site de sua comunidade de segurança WeLiveSecurity.
Segundo o relatório, com a enxurrada de novos modelos de brinquedos sexuais inteligentes disponíveis no mercado, o usuário pode pensar que há avanços no fortalecimento dos mecanismos que garantem as boas práticas no processamento de suas informações. No entanto, a pesquisa revelou falhas de segurança interessantes, derivadas tanto da implementação dos aplicativos que controlam os dispositivos, quanto do design desses dispositivos, afetando o armazenamento e o processamento das informações.
Como acontece com qualquer outro dispositivo IoT, existem certas ameaças à privacidade ao usar brinquedos para adultos habilitados para a Internet. Vulnerabilidades podem permitir que invasores executem códigos maliciosos no dispositivo ou façam bloqueios, evitando que o usuário envie qualquer comando para o brinquedo. Recentemente, foram divulgados casos reais envolvendo ataques de ransomware com o objetivo de travar cintos de castidade vulneráveis enquanto os dispositivos estão em uso e exigir que as vítimas paguem um resgate para destravar os aparelhos e se libertar.
Anatomia de um crime
Hoje em dia, dizem os pesquisadores da Eset, os brinquedos sexuais inteligentes apresentam muitos recursos: controle remoto pela Internet, chats em grupo, mensagens multimídia, videoconferências, sincronização com músicas ou audiobooks e a capacidade de se conectar com assistentes inteligentes, para citar alguns. Alguns modelos podem ser sincronizados para replicar seus movimentos e alguns outros são vestíveis.
Em termos de arquitetura, a maioria desses dispositivos pode ser controlada via Bluetooth Low Energy (BLE) a partir de um aplicativo instalado em um smartphone. O aplicativo é responsável por definir todas as opções no dispositivo e controlar o processo de autenticação do usuário. Para isso, ele se conecta a um servidor na Nuvem, que armazena as informações da conta do usuário. Em alguns casos, esse serviço de Nuvem também atua como um intermediário entre parceiros, usando recursos como chat, videoconferência e transferência de arquivos, ou mesmo fornecendo o controle remoto de seus dispositivos a um parceiro.
Esta arquitetura apresenta vários pontos vulneráveis, que podem ser usados para comprometer a segurança dos dados que estão sendo processados, com interceptação da comunicação local entre o aplicativo de controle e o dispositivo, entre o aplicativo e a Nuvem, entre o telefone remoto e a Nuvem, ou atacando diretamente o serviço baseado na Nuvem. Apesar de já terem sido submetidos ao escrutínio de muitos pesquisadores de segurança, a investigação da Eset demonstrou que esses dispositivos continuam a conter falhas de segurança que podem ameaçar a segurança dos dados armazenados, bem como a privacidade e até a segurança do usuário.
Como é possível imaginar, a sensibilidade das informações processadas por brinquedos sexuais é extremamente crítica: nomes, orientação sexual ou de gênero, listas de parceiros sexuais, informações sobre o uso do dispositivo, fotos íntimas e vídeos – todas essas informações podem ter consequências desastrosas se eles caem nas mãos erradas. Novas formas de “sextorção” aparecem no radar considerando o material íntimo acessível através dos aplicativos que controlam esses dispositivos.
Além das preocupações com a privacidade, os brinquedos sexuais inteligentes também não estão isentos da possibilidade de serem comprometidos por ciberataques. Em relação às vulnerabilidades no aplicativo de controle de um brinquedo sexual, um invasor pode assumir o controle do brinquedo, levando a ataques DoS (negação de serviço) que bloqueiam a entrega de qualquer comando ou um dispositivo que é transformado em arma para realizar ações maliciosas e propagar malware, ou mesmo um dispositivo deliberadamente modificado para causar danos físicos ao usuário, como sobreaquecimento.
Serviço
welivesecurity.com
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo