La bambola parlante 'Cayla' di Vivid Toy vulnerabile all'hacking, afferma un ricercatore di sicurezza

Table Of Contents

• Il ricercatore di sicurezza Ken Munro scopre una vulnerabilità nella bambola parlante ‘Cayla’ di Vivid Toy
• Cayla

Il ricercatore di sicurezza Ken Munro scopre una vulnerabilità nella bambola parlante ‘Cayla’ di Vivid Toy

La bambola parlante ‘Cayla’ di Vivid Toy, best seller, presenta vulnerabilità che possono essere sfruttate da potenziali hacker per far dire alla bambola ciò che vogliono da remoto. La vulnerabilità è stata scoperta dal ricercatore di sicurezza Ken Munro, di Pen Test Partners. Munro, che ha partecipato a un’intervista nel programma Tech Tent della BBC e sarà presente nell’edizione di oggi, ha scoperto una vulnerabilità nel software di Cayla che consente di essere hackerata e, essenzialmente, di dire qualsiasi cosa.

Munro ha anche dimostrato l’hack al Rory Cellan-Jones della BBC. Poiché Munro non ha rilasciato il PoC e il Tech Tent della BBC deve ancora andare in onda, non è noto quale sia la vulnerabilità, ma si trova nell’app che collega Cayla con lo smartphone.

Cayla

Cayla è una bambola parlante connessa a Internet di Vivid Toys. Utilizza software di riconoscimento vocale e tecnologia Google Translate per comunicare con il bambino. Presentata nel novembre 2014, Vivid Toys afferma che i bambini possono avere qualsiasi numero di conversazioni con la bambola e Cayla sarà “l’amico più intelligente che avrai mai”.

Cayla assomiglia a una bambola tradizionale – alta 18 pollici, con capelli biondi e una maglietta. Ma il suo stomaco contiene un altoparlante, da cui ‘parla’, e indossa una collana che funge da dispositivo di ascolto. Funziona ascoltando ciò che dici e inviando le parole a un’app che deve essere installata su qualsiasi dispositivo iOS o Android. Quel dispositivo si connette a Cayla tramite Bluetooth e poi traduce ciò che dice il bambino, lo trasforma in testo e utilizza parole chiave per cercare su Internet una risposta.

Al momento della presentazione, Vivid Toys aveva affermato che i genitori possono essere certi che alti livelli di funzionalità di sicurezza, incluso Google SafeSearch, garantiranno che Cayla non dirà mai nulla di inappropriato. Vivid aveva dichiarato in quel momento che se dici la parola “cazzata” alla bambola, lei risponde: “È inappropriato.” Chiedile da dove vengono i bambini e lei dice: “Non lo so. È meglio che chiedi al tuo insegnante.”

Tuttavia, la ricerca di Munro dimostra che può essere indotta a dire cose molto peggiori a un bambino se hackerata. La BBC ha contattato Vivid Toys riguardo alla vulnerabilità, che ha dichiarato che “l’hacking era un esempio isolato effettuato da un team specializzato – ma tuttavia l’azienda prenderà in considerazione le informazioni poiché è in grado di aggiornare l’app utilizzata con la bambola in modo continuo.”