Novas vulnerabilidades de segurança em IoT Smart Games e Kids GPS Watches

Os problemas de segurança e privacidade afetam os jogos IoT Smart Fisher-Price e a série hereO de relógios GPS infantis, de acordo com os pesquisadores do Rapid7.

O Fisher-Price Smart Toy é uma linha relativamente nova de brinquedos fofos que podem interagir com as crianças – com base em tarefas dinâmicas e até aprender com suas experiências. O jogo pode ser conectado à Internet para acelerar o processo de aprendizado, mas os pais também podem monitorar a situação usando um aplicativo móvel por meio da rede Wi-Fi local.

Novas vulnerabilidades de segurança em IoT Smart Games e Kids GPS Watches

Pesquisadores do Rapid7 descobriram que os jogos inteligentes usavam uma API insuficientemente segura ao se comunicar com os servidores da Fisher-Price enquanto conectados à Internet.

“As chamadas de serviço da Web (API) da plataforma não identificaram adequadamente o remetente das mensagens, permitindo que um possível invasor envie solicitações que não devem ser permitidas em condições operacionais ideais”, explicaram os pesquisadores.

Isso permitiria que um invasor questionasse a API e recebesse respostas que não deveriam ser recebidas. Os atacantes poderiam ter descoberto uma lista de todos os clientes do fabricante, todos os perfis das crianças e o tipo de jogo associado a cada conta e cada criança.

Informações pessoais, como nome da criança, data de nascimento, sexo, idioma e também estavam disponíveis, combinadas com o estado atual do jogo (se a criança está brincando ou não).

Além disso, os invasores podem excluir perfis de jogos e alterar jogos de uma conta para outra, trocando seu comportamento e confundindo as crianças com respostas erradas.

Os problemas chegaram ao aviso da Fischer-Price em meados de novembro e foram corrigidos em meados de janeiro deste ano.

A segunda questão que os pesquisadores descobriram estava na plataforma GO do hereO, um projeto financiado pelo Indiegogo, que começou a distribuir seus produtos aos apoiadores do projeto há apenas um mês.

O HereO é uma família de relógios infantis habilitados para GPS que vêm com uma variedade de aplicativos móveis que permitem que os pais e outros membros da família localizem seus filhos em toda a cidade.

As aplicações móveis do HereO usam o conceito de “círculos” para gerenciar membros da família com permissão e confiança para localizar uma criança ou grupo via GPS.

Pesquisadores do Rapid7 descobriram que a API do aplicativo continha um problema de desvio de autenticação que permitia que os invasores solicitassem e, em seguida, fornecessem acesso ao próprio círculo familiar.

Dessa maneira, o invasor deve ter acesso aos dados, como a localização em tempo real da criança, as localizações anteriores e a localização de outros membros da família por meio do GPS de seus smartphones.

O projeto aqui foi retificado por essas questões em 15 de dezembro de 2015, depois que os pesquisadores do Rapid7 informaram sua equipe de segurança sobre o assunto até o final de outubro.

[su_youtube url=”https://www.youtube.com/watch?v=hlFH_bdrGMs” width=”580″ height=”380″]