Topo

Chucky da era digital? Hackers podem "possuir" o brinquedo do seu filho

Divulgação
Imagem: Divulgação

Dan Novachi

Colaboração para Tilt

21/12/2020 04h00

Sem tempo, irmão

  • Brinquedos acionados por voz podem oferecer riscos à privacidade das crianças
  • Ao se conectar à internet, eles podem ser hackeados e controlados de longe
  • A LGPD protege os dados do seu filho e a empresa pode ser responsabilizada
  • Especialistas aconselham a comprar esse tipo de brinquedo de empresas nacionais
  • Se ele enjoar do dispositivo, os pais podem pedir para a empresa apagar os dados coletados

Foi-se o tempo em que lendas urbanas como a faca encontrada dentro do boneco do Fofão, a boneca da Xuxa possuída pelo demônio, e filmes de terror como o da série "Chucky", eram quem metiam medo na gente. Hoje existe a possibilidade real de brinquedos serem "possuídos", mas por hackers.

Aplicativos e brinquedos inteligentes hoje reagem a comandos de voz e são conectados à internet. Mas eles podem ser um canal para vazar informações pessoais das crianças e de suas famílias.

O estudo da Universidade de Washington "Toys that Listen: A Study of Parents, Children, and Internet-Connected Toys" (em tradução livre, "Brinquedos que ouvem: um estudo de pais, crianças e brinquedos com conexão à internet") mostrou que, ao usarem esses brinquedos, as crianças contam detalhes específicos sobre seus hábitos familiares, além de outras informações mais sensíveis, como endereços e números de telefone. Por isso, é preciso ficar atento se esses dados estão sendo coletados e para onde eles estão indo.

Além disso, existe sim o risco de que o brinquedo seja hackeado e, assim, em vez de responder à inteligência artificial do aparelho, a criança pode atender aos comandos de um criminoso.

Como hackers "entram" no brinquedo?

Altair Olivo Santi, professor de segurança da informação da PUC-PR (Pontifícia Universidade Católica do Paraná) e líder do grupo de cibersegurança e privacidade do CNPq (Conselho Nacional de Desenvolvimento Científico e Tecnológico), explica que se o aparelho tem um software próprio e conexão com a internet, ele está passível de ser hackeado.

Para Santi, quanto mais simples esses aparelhos, mais fácil é a sua invasão, já que não têm ferramentas de segurança tão sofisticadas como as dos computadores. "O fato de estar conectado à internet e ter falhas de desenvolvimento permite que um hacker comprometa o brinquedo, por exemplo, controlando-o remotamente", diz Santi.

Há cinco anos, um pesquisador de segurança norte-americano descobriu uma falha de segurança no brinquedo Hello Barbie, que responde às crianças simulando um diálogo real e hoje tem um repertório de mais de 8.000 respostas. Quando conectada ao wi-fi, a boneca ficava vulnerável a hackers, permitindo fácil acesso às informações e ferramentas no seu sistema, como arquivos de áudio armazenados e o microfone embutido.

Uma autoria de segurança feita em 2017 teria mostrado que o CogniToys Dino —brinquedo que usa wi-fi e aprendizado de máquina para interagir com crianças— transmitia informações sem usar criptografia. O fabricante negou a falha de segurança, em 2018, afirmando que ele "usa criptografia para todo o tráfego de áudio".

Para Sandra Turchi, professora de estratégias digitais na ESPM (Escola Superior de Propaganda e Marketing), os arquivos de áudio armazenados pelos brinquedos podem conter informações do dia a dia da criança e de seus pais, nomes dos membros da família, localização de endereços físicos, rotina e hábitos da casa e, caso sejam acessados por criminosos, podem ser usados para facilitar e arquitetar roubos, golpes e mesmo sequestros.

"Para as crianças mais especificamente, os riscos vão desde a importunação remota ao acesso à localização exata", diz Turchi.

Mais recentemente, um estudo mostrou que até as assistentes de voz, como Alexa e Siri, podem ser usadas para o mal. Segundo a publicação, ondas ultrassônicas, inaudíveis a seres humanos, seriam captadas por esses aparelhos e poderiam fazê-los executar ações como fazer chamadas, tirar fotos, enviar mensagens ou reproduzir áudios.

Apesar de não se tratar de um brinquedo, as babás eletrônicas também estão sujeitas a esse tipo de ataque. No ano passado, um caso ocorrido no Estados Unidos chocou pais e responsáveis: um hacker conseguiu invadir o sistema da babá e conversar com uma criança de oito anos. Em 2017, a Avast afirmou ter encontrado mais de 470 mil aparelhos do tipo "smart" com segurança potencialmente frágil.

Como evitar que brinquedos sejam atacados?

Especialistas em cibersegurança ouvidos por Tilt deram algumas dicas de como evitar esse tipo de "possessão":

  • Acompanhe de perto a rotina da criança. Assim é mais fácil identificar que algo anormal está acontecendo;
  • Conheça a reputação da empresa e pesquise se existem denúncias envolvendo à privacidade do brinquedo;
  • Leia atentamente os termos de privacidade. Eles devem informar que uso será dado às informações coletadas pelo microfone do brinquedo;
  • Prefira empresas nacionais, cujos dados coletados fiquem num servidor de nuvem em nosso país. Assim, caso haja violação do termo de privacidade é mais fácil tomar providências legais, já que a nossa lei se aplica apenas ao território nacional;
  • Escolha brinquedos e aparelhos que exijam PINs e senhas exclusivas para garantir a conexão segura, principalmente se ela for via wi-fi ou Bluetooth;
  • Garanta que os softwares estejam sempre com as atualizações em dia, já que elas corrigem falhas e adicionam maior segurança aos aparelhos;
  • Adquira sempre brinquedos e equipamentos originais nas lojas oficiais das marcas.

De quem é a responsabilidade pelos dados coletados?

Isabella Henriques, diretora executiva do Instituto Alana, organização não governamental que defende os direitos digitais das crianças, explica que os riscos do uso de brinquedos inteligentes ainda são pouco debatidos no Brasil. Mas mudanças têm surgido com a LGPD (Lei Geral de Proteção de Dados), que entrou em vigor em setembro deste ano.

A lei estabelece que aparelhos conectados (e isso inclui brinquedos inteligentes) devem informar se coletam dados e, se sim, qual tratamento é dado a eles. No caso dos usados no ambiente doméstico por outros integrantes da família, é importante que a adequação para o uso de crianças seja garantida.

A lei prevê ainda que empresas não deverão condicionar a participação das crianças em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das que são de fato necessárias àquela atividade, o que gera a minimização da coleta de dados.

Isso tudo é obrigação da empresa e se isso não for respeitado, pais ou responsáveis devem denunciar o fato às ouvidorias do Ministério Público dos estados. Quem não seguir as regras pode ser punido e multado, de acordo com as normas da LGPD.

Os pais e responsáveis que se sentirem lesados pela aquisição do produto podem também fazer uma denúncia nos órgãos de proteção do consumidor, como o Procon.

Mas se o mais grave acontecer e o brinquedo inteligente do seu filho for invadido por hackers, o assunto vira caso de polícia. É preciso fazer uma denúncia em delegacias especializadas na proteção à criança e ao adolescente e/ou a crimes virtuais.

Enjoou? Você pode pedir para apagarem os dados

Você não precisa nem ter lido as políticas de privacidade e os termos de uso para ter o direito à privacidade do seu filho assegurado. O artigo 14 da LGPD estabelece que mesmo que os responsáveis tenham consentido com o uso dos dados de menores de idade, eles só podem ser usados para o melhor interesse dos pequenos.

Ainda assim é sua responsabilidade fiscalizar como essas informações estão sendo utilizadas para conseguir cobrar depois das autoridades e, até, pedir para que a empresa apague tudo o que já coletou do seu filho. Segundo Isabella Henriques, do Instituto Alana, esse direito é assegurado pela LGPD.

"Caso tenham consentido com a coleta de dados de crianças ou adolescentes sem perceber, e caso esses processos não estejam sendo realizados de acordo com seu melhor interesse, pais e responsáveis poderão requerer diretamente ao controlador —isto é, o agente responsável pelo tratamento de dados— o apagamento de todas as informações pessoais coletadas", afirma.

Em outras palavras, pela legislação brasileira, se o seu filho enjoou do brinquedo inteligente ou não quer mais brincar com o joguinho do aplicativo, a empresa tem a obrigação de apagar os dados dele.

É preciso falar mais sobre isso

Apesar dos avanços positivos da LGPD, os especialistas entrevistados por Tilt afirmam que a privacidade de crianças e adolescentes precisa de leis mais específicas.

Segundo a advogada Lúcia Ferreira Teixeira, coordenadora de estudos, pareceres e ações educativas da Comissão de Proteção de Dados e Privacidade da OAB/RJ (Ordem dos Advogados do Brasil do Rio de Janeiro), é preciso que haja um diálogo mais consistente entre órgãos como a ANPD (Autoridade Nacional de Proteção de Dados) e o Conanda (Conselho Nacional de Direitos da Criança e do Adolescente) para promover uma futura lei.

Para Henriques, o Instituto Alana, a legislação deveria obrigar que brinquedos inteligentes já viessem de fábrica com configurações de alta privacidade. Assim, as crianças não seriam incentivadas a optar por uma opção de pouca privacidade e viriam com opções de geolocalização desativadas, entre outras questões.

Tanto Teixeira quanto Henriques citam iniciativas do Reino Unido nesse sentido. Lá, foi criada a "Design apropriado para a idade: um código de prática para serviços online", uma legislação específica que estabelece padrões de privacidade com base na fase de desenvolvimento da criança —e que deve entrar em vigor em setembro de 2021. É sempre bom lembrar que a própria LGPD brasileira tomou como base a GDPR (Regulamento Geral sobre a Proteção de Dados, da sigla em inglês), lei da União Europeia.