Boneca Falante 'Cayla' da Vivid Toy vulnerável a hacking, diz pesquisador de segurança

Table Of Contents

• Pesquisador de segurança Ken Munro descobre vulnerabilidade na boneca falante ‘Cayla’ da Vivid Toy
• Cayla

Pesquisador de segurança Ken Munro descobre vulnerabilidade na boneca falante ‘Cayla’ da Vivid Toy

A boneca falante mais vendida da Vivid Toy, ‘Cayla’, possui vulnerabilidades que podem ser exploradas por hackers potenciais para fazer a boneca dizer o que eles querem remotamente. A vulnerabilidade foi descoberta pelo pesquisador de segurança Ken Munro, da Pen Test Partners. Munro, que participou do programa Tech Tent da BBC, descobriu uma vulnerabilidade no software da Cayla que permite que ela seja hackeada e, essencialmente, diga qualquer número de coisas.

Munro também demonstrou o hack para Rory Cellan-Jones da BBC. Como Munro não divulgou a PoC e o Tech Tent da BBC ainda não foi exibido, não se sabe qual é a vulnerabilidade, mas está no aplicativo que conecta a Cayla ao smartphone.

Cayla

Cayla é uma boneca falante conectada à Internet da Vivid Toys. Ela usa software de reconhecimento de fala e tecnologia do Google Translate para se comunicar com a criança. Lançada em novembro de 2014, a Vivid Toys afirma que as crianças podem ter qualquer quantidade de conversas com a boneca e que Cayla será “o amigo mais inteligente que você já teve.”

Cayla se parece com uma boneca tradicional – 18 polegadas de altura, com cabelo loiro e uma camiseta. Mas seu estômago contém um alto-falante, de onde ela ‘fala’, e ela usa um colar que atua como um dispositivo de escuta. Ela funciona ouvindo o que você diz e enviando as palavras para um aplicativo que precisa ser instalado em qualquer dispositivo iOS ou Android. Esse dispositivo se conecta à Cayla via Bluetooth e então traduz o que a criança diz, transforma em texto e usa palavras-chave para vasculhar a Internet em busca de uma resposta.

Na época do lançamento, a Vivid Toys afirmou que os pais podem ter certeza de que altos níveis de recursos de segurança, incluindo o Google SafeSearch, significariam que Cayla nunca diria nada inadequado. A Vivid declarou naquela época que se você disser a palavra “merda” para a boneca, ela responde: “Isso é inadequado.” Pergunte a ela de onde vêm os bebês e ela diz: “Eu não sei. É melhor você perguntar ao seu professor.”

No entanto, a pesquisa de Munro prova que ela pode ser feita para dizer coisas muito piores a uma criança se hackeada. A BBC entrou em contato com a Vivid Toys sobre a vulnerabilidade, que afirmou que “o hacking foi um exemplo isolado realizado por uma equipe especializada – mas, mesmo assim, a empresa levaria a informação em consideração, pois poderia atualizar o aplicativo usado com a boneca de forma contínua.”