{"id":10144,"date":"2017-04-17T07:51:48","date_gmt":"2017-04-17T07:51:48","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=10144"},"modified":"2017-11-13T17:43:06","modified_gmt":"2017-11-13T15:43:06","slug":"kids-devices-vulnerabilities","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/kids-devices-vulnerabilities\/10144\/","title":{"rendered":"I giocattoli per bambini presentano seri problemi di privacy"},"content":{"rendered":"<p>Se consideriamo le tante norme e regole per salvaguardare in particolare la privacy dei bambini, potreste pensare che i dispositivi elettronici e i giochi connessi per bambini siano particolarmente sicuri. In linea di massima, pensiamo che la privacy dei bambini sia sacrosanta (i bambini sono particolarmente vulnerabili alla pubblicit\u00e0, ai venditori, agli adescatori e a tanto altro).<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"ransom\">\n<p>https:\/\/www.kaspersky.it\/downloads\/thank-you\/internet-security-free-trial?%26redef=1&amp;reseller=it_kdailyitapics_acq_ona_smm__onl_b2c__lnk_______<\/p>\n<p>Con ogni nuova fuga di dati che si scopre, diventa sempre pi\u00f9 evidente il fatto che non possiamo fare affidamento sui produttori di giocattoli per quanto riguarda la nostra sicurezza o la sicurezza dei nostri bambini. Analizziamo un paio di esempi per capire meglio quali siano le brutte sorprese che possono darci i giocattoli intelligenti.<\/p>\n<h2><strong>Spionaggio<\/strong><\/h2>\n<p>A dicembre 2016, i sostenitori della privacy <a href=\"http:\/\/https\/epic.org\/privacy\/kids\/EPIC-IPR-FTC-Genesis-Complaint.pdf\" target=\"_blank\" rel=\"noopener nofollow\">hanno sporto denuncia alla Commissione Federale del Commercio americano contro Genesis Toys<\/a>, produttori delle <a href=\"https:\/\/www.kaspersky.it\/blog\/my-friend-cayla-risks\/9847\/\" target=\"_blank\" rel=\"noopener\">bambole Cayla<\/a> e dei robot giocattolo i-Que. Un altro imputato \u00e8 stato Nuance Communications, l\u2019azienda responsabile della tecnologia di riconoscimento vocale che consente ai giocattoli di conversare con i bambini.<\/p>\n<p>Le parti lese sono state abbastanza chiare fin dall\u2019inizio: \u201c<a href=\"https:\/\/epic.org\/privacy\/kids\/EPIC-IPR-FTC-Genesis-Complaint.pdf\" target=\"_blank\" rel=\"noopener nofollow\">questa denuncia riguarda i giocattoli che spiano<\/a>\u201c.<\/p>\n<p>Esaminiamo un momento gli elementi della denuncia:<\/p>\n<ul>\n<li>L\u2019app utilizzata dalle bambole Cayla per interagire richiede permessi per accedere ai file memorizzati su un dispositivo e l\u2019app di i-Que richiede il permesso per accedere alla telecamera del dispositivo. Il rivenditore non spiega perch\u00e9 l\u2019app abbia bisogno di queste autorizzazioni. Inoltre, sul sito ufficiale o nel video di dimostrazione non si menziona il permesso ad accedere alla telecamera.<\/li>\n<li>Per connettersi a uno smartphone o a un tablet, i giochi utilizzano il Bluetooth, connessione poco sicura che non richiede alcuna autenticazione. Inoltre, il gioco non invia notifiche all\u2019utente quando si connette a un dispositivo. Questa mancanza di sicurezza pu\u00f2 permettere a intrusi non solo di spiare ma anche di parlare con il bambino.<\/li>\n<li>Il gioco fa pubblicit\u00e0, menzionando diverse marche durante la conversazione.<\/li>\n<li>L\u2019app della bambola Cayla induce i bambini a fornire informazioni personali identificabili: i nomi dei genitori, il luogo di residenza, il nome della scuola e molto altro.<\/li>\n<li>Entrambe le app inviano registrazioni delle conversazioni ai server di Nuance Communication, dove vengono analizzati per migliorare le risposte. Le registrazioni sono memorizzate sui server allo scopo di migliorare il servizio.<\/li>\n<li>I rivenditori non hanno specificato\u00a0che tipo di dati raccolgano dai bambini.<\/li>\n<\/ul>\n<p>La capacit\u00e0 di spionaggio di Genesis Toys \u00e8 stato un motivo sufficiente per i legislatori tedeschi per bloccare completamente le vendite. I proprietari dei giocattoli non sicuri sono stati invitati a <a href=\"https:\/\/www.kaspersky.it\/blog\/my-friend-cayla-risks\/9847\/\" target=\"_blank\" rel=\"noopener\">sbarazzarsene<\/a>. Il governo tedesco identifica questi giocattoli come dispositivi di sorveglianza nascosti, proibiti dalla legge.<\/p>\n<p>A dicembre 2016, la Commissione norvegese per la tutela dei consumatori <a href=\"https:\/\/fil.forbrukerradet.no\/wp-content\/uploads\/2016\/12\/complaint-dpa-co.pdf\" target=\"_blank\" rel=\"noopener nofollow\">ha espresso la propria preoccupazione<\/a> sui problemi di sicurezza delle bambole Cayla e dei robot i-Que.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/lAOj0H5c6Yc?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>Al contrario, l\u2019Associazione di rivenditori di giocattoli inglese <a href=\"http:\/\/www.bbc.com\/news\/world-europe-39002142\" target=\"_blank\" rel=\"noopener nofollow\">ha dichiarato alla BBC<\/a> che Cayla \u201cnon presenta rischi particolari\u201d.<\/p>\n<h3><strong>Mancanza di sicurezza<\/strong><\/h3>\n<p>In un altro incidente di sicurezza, \u201cla perdita di dati\u201d non descrive neanche lontanamente la grandezza della violazione. Per ampliare la metafora, si \u00e8 trattato della rottura di una diga a causare un\u2019inondazione o perfino un allagamento di dati personali. O, per essere precisi, non c\u2019era alcuna diga fin dall\u2019inizio.<\/p>\n<p>I CloudPets della Spiral Toys sono animali di peluche che scambiano messaggi tra i bambini e i genitori. Il giocattolo si connette agli smartphone dei genitori tramite Bluetooth e i genitori utilizzano un\u2019app speciale per connettersi al giocattolo.<\/p>\n<p>Potrebbe essere un ottimo modo affinch\u00e9 i genitori stiano in contatto con i propri figli, ma il contenuto memorizzato dal sistema non \u00e8 protetto in maniera adeguata. Il database delle credenziali degli utenti non era affatto protetto. Chiunque poteva connettersi al server senza autenticazione, dare un\u2019occhiata ai dati, duplicare il database e memorizzarlo su un altro computer.<\/p>\n<p>Il ricercatore di sicurezza Victor Gevers ha notato il problema e l\u2019ha comunicato al venditore il 31 dicembre 2016. Successivamente Troy Hunt, un rinomato esperto di sicurezza, ha ricevuto da una fonte anonima un file contenente <a href=\"https:\/\/www.troyhunt.com\/data-from-connected-cloudpets-teddy-bears-leaked-and-ransomed-exposing-kids-voice-messages\/\" target=\"_blank\" rel=\"noopener nofollow\">oltre mezzo milione di registrazioni degli utenti di Cloudpets<\/a>. Oltre al nome del bambino, ogni registrazione conteneva la data di nascita e le informazioni dei parenti che il bambino aveva comunicato al giocattolo. Il numero complessivo delle registrazioni pericolose degli utenti CloudPets supera gli 800.000.<\/p>\n<p>Un estraneo in possesso della password pu\u00f2 scaricare tutti i messaggi inviati tramite il giocattolo. A differenza degli altri dati, le password degli utenti sono crittografate con hash per proteggerle. La funzione hash fornisce protezione, sebbene gli attacchi di forza bruta\u00a0possano ancora rivelare le password, soprattutto quelle semplici.<\/p>\n<p>Sfortunatamente, \u00e8 anche abbastanza possibile \u201corigliare\u201d una conversazione senza password. Da quanto emerso, le registrazioni dei messaggi e le immagini erano memorizzate nel cloud di Amazon S3. Un aggressore doveva solo cliccare su un link dal database danneggiato per ottenere un audio dal server. Il numero totale delle registrazioni disponibili superava i 2.000.000.<\/p>\n<p>Ovviamente, non sono stati solo gli hacker<em> white hat<\/em> a venire a conoscenza di questa falla nella sicurezza. Il server che memorizzava i dati dei bambini era un caos, le copie dei database erano state eliminate ed erano state effettuate richieste di riscatto. Di conseguenza, il database \u00e8 stato rimosso, anche se le copie potrebbero essere ancora in giro.<\/p>\n<p>Spiral Toys non ha risposto alle persone che provavano a comunicare il problema, Gevers, Hunt, gli informatori di Hunt e il reporter Lorenzo Franceschi-Bicchierai inclusi. Successivamente, a marzo 2017, il Senato americano ha chiesto a Spiral Toys di dire la verit\u00e0 per quanto riguarda la fuga di dati e la sua politica di protezione dei dati. Troy Hunt <a href=\"http:\/\/files.troyhunt.com\/03.07.17%20BN%20Letter%20to%20Spiral%20Toys%20re%20Data%20Breach.pdf\" target=\"_blank\" rel=\"noopener nofollow\">ha pubblicato<\/a> il testo della richiesta.<\/p>\n<p>Alla fine Spiral Toys ha risposto al Procuratore Generale della California. DataBreaches.net <a href=\"https:\/\/www.databreaches.net\/spiral-toys-sends-something-to-the-california-attorney-general-but-what-is-it\/\" target=\"_blank\" rel=\"noopener nofollow\">ha pubblicato la risposta<\/a>. L\u2019azienda ha affermato che si \u00e8 resa conto dell\u2019incidente il 22 febbraio grazie a Franceschi-Bicchierai, che era venuto a conoscenza del problema da una fonte anonima. Sebbene diversi ricercatori di sicurezza abbiano provato a mettersi in contatto con l\u2019azienda prima del 22 febbraio, Spiral Toys ha affermato di non aver mai ricevuto quei messaggi e di aver investigato le cause.<\/p>\n<p>Stando a Spiral Toys, la fuga di dati faceva parte di un grande attacco a MongolDB su Internet. L\u2019azienda ha affermato che i messaggi vocali e le immagini non erano stati toccati in quanto erano stati memorizzati su un altro server. Il database danneggiato non era il database principale ma uno temporaneo utilizzato dagli sviluppatori.<\/p>\n<p>Spiral Toys ha anche pubblicato delle <a href=\"https:\/\/cloudpets.zendesk.com\/hc\/en-us\/articles\/115003696948-CloudPets-Data-Breach-FAQs\" target=\"_blank\" rel=\"noopener nofollow\">FAQ per gli utenti contenenti le informazioni appena citate<\/a> e facendo notare i nuovi e pi\u00f9 severi requisiti per le password.<\/p>\n<h3><strong>Database aperti<\/strong><\/h3>\n<p>Un\u2019altra importante fuga di dati include il <a href=\"https:\/\/www.kaspersky.it\/blog\/hello-kitty-hacked\/7118\/\" target=\"_blank\" rel=\"noopener\">database del sito ufficiale dell\u2019azienda dei giocattoli di Hello Kitty<\/a> (3.300.000 registrazioni utenti danneggiate) e il <a href=\"https:\/\/www.kaspersky.it\/blog\/vtech-toys-hacked\/7006\/\" target=\"_blank\" rel=\"noopener\">database dello store online di VTech<\/a> (5.500.000 registrazioni di utenti e un\u2019enorme quantit\u00e0 di foto di bambini compromesse). Entrambi gli incidenti sono avvenuti nel 2015.<\/p>\n<p>Il servizio CloudPet e gli sviluppatori del sito Hello Kitty utilizzavano la soluzione di gestione dei database MongoDB, finito su tanti giornali dopo che gli hacker hanno danneggiato (o meglio, hanno preso il pieno controllo) di decine di migliaia di database.<\/p>\n<p>I proprietari dai database rubati saranno anche vittime, ma non sono innocenti. Non richiedendo alcuna autorizzazione, MongoDB ha lasciato le porte dei database aperte e utilizzando database aperti, i produttori hanno affermato di non preoccuparsene.<\/p>\n<p>Ovviamente MongoDB non \u00e8 il solo problema (lo stato generale della sicurezza deve essere migliorato). Tutti gli sforzi effettuati dai legislatori, dai sostenitori della privacy e dagli esperti di sicurezza non pu\u00f2 semplicemente superare la velocit\u00e0 dell\u2019adozione delle nuove tecnologie e la tendenza generale degli utenti a non dare importanza ai dati.<\/p>\n<p>Ad ogni modo, dopo il problema di MongoDB, gli hacker hanno realizzato attacchi massicci ai sistemi di gestione dei database. Qualsiasi database non protetto <em>sar\u00e0<\/em> divulgato online e l\u2019utente medio non potr\u00e0 fare nulla al riguardo. \u00c8 una magra consolazione sapere che la fuga di database riguardava un database temporaneo e di supporto quando invece i dati erano reali. Chiudere un sistema danneggiato non rende magicamente i dati personali di nuovo privati.<\/p>\n<h2><strong>Consigli per i genitori<\/strong><\/h2>\n<p>State attenti quando date ai vostri figli un giocattolo elettronico intelligente. In maniera particolare, fate attenzione ai seguenti campanelli d\u2019allarme:<\/p>\n<ul>\n<li><strong>Se il giocattolo invia dati a Internet<\/strong>. Molti giocattoli lo fanno e adesso la moda si \u00e8 estesa anche ai peluche.<\/li>\n<li><strong>Se non potete controllare le azioni del giocattolo<\/strong>. Almeno le bambole Cayla hanno un led che lampeggia quando il microfono \u00e8 attivo. Con le app per mobile, potreste non sapere quando queste sono in funzione. Kaspersky Lab ha scoperto che il 96% delle app \u00e8 attiva\u00a0in background <a href=\"https:\/\/www.kaspersky.it\/blog\/secret-life-of-apps\/9953\/\" target=\"_blank\" rel=\"noopener\">anche se l\u2019utente non le avvia<\/a>.<\/li>\n<li><strong>Se un giocattolo \u00e8 dotato di microfono e di una telecamera<\/strong>. Non si tratta solo degli orsetti di peluche e dei robot (questa categoria include le app per mobile con i <a href=\"https:\/\/www.kaspersky.it\/blog\/android-permissions-guide\/9793\/\" target=\"_blank\" rel=\"noopener\">relativi permessi<\/a>).<\/li>\n<li><strong>Se un gioco chiede informazioni personali al bambino.<\/strong><\/li>\n<li><strong>Se le impostazioni sono troppo semplici<\/strong>. Ad esempio, quando una connessione Bluetooth non richiede autenticazione.<\/li>\n<\/ul>\n<p>Anche uno solo di questi punti dovrebbe bastare per riconsiderare l\u2019equilibrio esistente tra il divertimento di un giocattolo connesso e la privacy del vostro bambino.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Pensate che i giocattoli connessi per bambini siano pi\u00f9 sicuri di quelli per adulti? Pensateci ancora.<\/p>\n","protected":false},"author":2049,"featured_media":10146,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[16,2641,2194],"tags":[2239,1281,2407,1205,2333,54,111,2251,45],"class_list":{"0":"post-10144","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"category-threats","9":"category-privacy","10":"tag-consigli","11":"tag-bambini","12":"tag-crescere-un-figlio","13":"tag-fughe-di-dati","14":"tag-giocattoli","15":"tag-hacker","16":"tag-privacy","17":"tag-servizi-online","18":"tag-sicurezza"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/kids-devices-vulnerabilities\/10144\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/kids-devices-vulnerabilities\/11038\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/kids-devices-vulnerabilities\/9092\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/kids-devices-vulnerabilities\/10405\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/kids-devices-vulnerabilities\/14574\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/kids-devices-vulnerabilities\/14679\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/kids-devices-vulnerabilities\/6948\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/kids-devices-vulnerabilities\/9100\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/kids-devices-vulnerabilities\/6611\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/kids-devices-vulnerabilities\/10074\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/kids-devices-vulnerabilities\/15313\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/kids-devices-vulnerabilities\/14679\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/kids-devices-vulnerabilities\/14679\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/bambini\/","name":"bambini"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/10144","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2049"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=10144"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/10144\/revisions"}],"predecessor-version":[{"id":14619,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/10144\/revisions\/14619"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/10146"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=10144"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=10144"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=10144"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}