La muñeca hablante 'Cayla' de Vivid Toy vulnerable a hackeos, dice investigador de seguridad

Table Of Contents

• El investigador de seguridad Ken Munro descubre vulnerabilidad en la muñeca hablante ‘Cayla’ de Vivid Toy
• Cayla

El investigador de seguridad Ken Munro descubre vulnerabilidad en la muñeca hablante ‘Cayla’ de Vivid Toy

La muñeca hablante más vendida de Vivid Toy, ‘Cayla’, tiene vulnerabilidades que pueden ser explotadas por posibles hackers para hacer que la muñeca hable lo que quieran de forma remota. La vulnerabilidad fue descubierta por el investigador de seguridad Ken Munro, de Pen Test Partners. Munro, quien ha dado una entrevista al programa Tech Tent de la BBC y aparecerá en la edición de hoy, descubrió una vulnerabilidad en el software de Cayla que permite que sea hackeada y, esencialmente, diga cualquier cosa.

Munro también ha demostrado el hackeo al periodista Rory Cellan-Jones de la BBC. Como Munro no ha publicado el PoC y el programa Tech Tent de la BBC aún no se ha emitido, no se sabe cuál es la vulnerabilidad, pero está en la aplicación que conecta a Cayla con el smartphone.

Cayla

Cayla es una muñeca hablante conectada a Internet de Vivid Toys. Utiliza software de reconocimiento de voz y tecnología de Google Translate para comunicarse con el niño. Presentada en noviembre de 2014, Vivid Toys dice que los niños pueden tener cualquier cantidad de conversaciones con la muñeca y que Cayla será “el amigo más inteligente que jamás tendrás.”

Cayla se parece a una muñeca tradicional: mide 18 pulgadas de alto, tiene cabello rubio y usa una camiseta. Pero su abdomen contiene un altavoz, del cual ‘habla’, y lleva un collar que actúa como dispositivo de escucha. Funciona escuchando lo que dices y enviando las palabras a una aplicación que debe ser instalada en cualquier dispositivo iOS o Android. Ese dispositivo se conecta a Cayla por Bluetooth y luego traduce lo que el niño dice, lo convierte en texto y utiliza palabras clave para buscar en Internet una respuesta.

En el momento de la presentación, Vivid Toys había dicho que los padres pueden estar seguros de que altos niveles de características de seguridad, incluyendo Google SafeSearch, significarán que Cayla nunca dirá nada inapropiado. Vivid había declarado en ese momento que si le dices la palabra “mierda” a la muñeca, ella responde: “Eso es inapropiado.” Pregúntale de dónde vienen los bebés y ella dice: “No lo sé. Es mejor que le preguntes a tu maestro.”

Sin embargo, la investigación de Munro demuestra que puede ser inducida a decir cosas mucho peores a un niño si es hackeada. La BBC se puso en contacto con Vivid Toys respecto a la vulnerabilidad, quienes afirmaron que “el hackeo fue un ejemplo aislado llevado a cabo por un equipo especializado, pero no obstante, la empresa tomaría la información en cuenta ya que podría actualizar la aplicación utilizada con la muñeca de forma continua.”