Mattel ha lanzado su primera muñeca Barbie interactiva, que viene equipada con un micrófono y acceso a Internet para que las niñas puedan hablarle y la muñeca pueda responderles de manera coherente. Pero el lanzamiento de esta novedad no sólo entusiasmó a los fanáticos de este clásico juguete, también fue de gran interés para los expertos en seguridad que vieron la oportunidad de descubrir los alcances de la seguridad de esta tecnología.
La muñeca, llamada Hello Barbie, cuenta con una tecnología interactiva similar a Siri de Apple y Cortana de Microsoft que le permite tener conversaciones con sus dueñas. El micrófono graba la voz de las niñas y envía los archivos de audio a servidores externos para procesarlos y así poder dar una respuesta que parezca natural.
Pero el investigador de seguridad estadounidense Matt Jakubowski descubrió que esta tecnología era fácil de burlar, y que una vez que la muñeca se conectaba a Internet quedaba expuesta a una intrusión que podía convertirla en una herramienta de ciberespionaje. Las vulnerabilidades en el juguete permiten al atacante robar la información del sistema de la muñeca, los datos de la cuenta del usuario, el nombre de la red Wi-Fi y los archivos de audio almacenados, además de conseguir acceso al micrófono. Además, los atacantes pueden utilizar la información almacenada en el juguete para tomar control de la red inalámbrica de la casa y obtener acceso a otros dispositivos inteligentes.
El ataque tiene ciertas limitaciones: sólo puede espiar a sus usuarios cuando éstos pulsan un botón de forma voluntaria y los archivos de audio se cifran antes de transferirse a los servidores externos. De todas maneras, una vez que se realiza la intrusión, las consecuencias pueden tener un gran alcance: “la información a la que se consigue acceso te permite obtener la dirección de la casa u oficina del usuario. Es solo cuestión de tiempo para que reemplacemos sus servidores con los nuestros y podamos hacer que la muñeca diga lo que nos plazca”, dijo Jakubowski.
Toy Talk, la compañía que diseñó la tecnología de Hello Barbie, defendió su producto diciendo que “en este caso, la información que se descubre no identifica al menor. Tampoco compromete ningún audio de un niño hablando”.
Esta no es la primera alarma sobre los riesgos que Hello Barbie representa para la privacidad: en marzo, poco después del lanzamiento del juguete, un grupo de personas intentó detener la distribución de las muñecas porque se había descubierto que grababa las conversaciones que tenía con un menor. Hasta el momento, se han juntado 6.600 firmas apoyando esta petición.
Fuentes
Una vulnerabilidad en la primera Barbie interactiva puede convertirla en una herramienta de ciberespionaje