Smart toys, il test che svela i nuovi giocattoli “spioni”

Alcuni mesi fa la notizia dei “giocattoli spia”, connessi ad internet, ha tenuto banco sui media. Ma nel frattempo, invece di essere modificati o ritirati dal mercato, a questi se ne sono aggiunti di nuovi. A lanciare l’allarme è stata l’associazione tedesca dei consumatori  Stiftung Warentest, che ha testato alcuni tra i giocattoli collegati a internet ritenuti “pericolosi”: WowWee Chip, Toy-Fi Teddy, Cloudpets, Cognitoys Dino e Toy Bear della Fisher-Price Smart. Di questi, i primi tre sono venduti anche in Italia.

Il cane robot che risponde agli sconosciuti

L’associazione dei consumatori spagnoli Ocu, ha rilanciato la notizia spiegano perché sono pericolosi.  Chip WowWee è un cane robot che utilizza una connessione Bluetooth non protetta. Può essere controllata da altri se lo smartphone dei genitori non è collegato a “Chip”, senza bisogno di iniziare una nuova sessione ogni volta e le informazioni dettagliate sullo smartphone utilizzato possono essere inviate a terzi, incluso il numero di identificazione dello smartphone, nonché il nome del fornitore di servizi mobili.

L’orsetto alla mercé dei pirati

 

Gli orsetti CloudPets, invece, inviano messaggi vocali dai genitori ai loro figli e viceversa. Utilizzano una connessione via Bluetooth e WiFi. La password viene crittografata all’inizio ma nessuna crittografia aggiuntiva assicura la memorizzazione della stessa, rendendo i dati vulnerabili ad un attacco informatico. L’applicazione usata raccolgono dati sensibili come il compleanno del bambino, e invia a terzi dati sul provider di servizi mobili e comunica con i servizi pubblicitari.

Teddy per gli spioni

I genitori e i bambini possono utilizzare il Toy-Fi Teddy per inviarsi messaggi vocali via Internet. Il problema è che anche qualsiasi altro proprietario di smartphone vicino può i inviare messaggi al bambino e ascoltare le sue risposte.

 

Rischi comuni

In generale, i rischi comuni a tutti gli smart-toys sono che i messaggi registrati vengono inviati a un server ma nessuna delle applicazioni dei giocattoli dello studio tedesco invia informazioni senza crittografia, né cattura la posizione dei dati dell’agenda del smartphone, ad esempio. Tuttavia, i giocattoli collegati interagiscono o addirittura comunicano con i piccoli. Alcuni file audio registrati vengono spesso inviati ad un server esterno dove vengono memorizzati. Un altro rischio è che talvolta permettono a terzi di connettersi al giocattolo e controllarlo anche senza particolari abilità informatiche: “immaginate che il vostro ragazzino corrà nel parco dietro il suo animale elettronico perché un altro lo controlla” scrive Ocu. In alcuni giocattoli non è richiesta una password e nessuna delle applicazioni richiede l’uso di una password forte (ad esempio con caratteri speciali o lettere maiuscole). Sebbene la password sia criptata al server del produttore, ciò non è sufficiente per evitare attacchi informatici. Ocu ha chiesto alle autorità spagnole di indagare i fatti e di adottare tutte le misure necessarie per garantire la sicurezza e la privacy dei bambini. In Italia, su questo fronte, le associazioni dei consumatori appaiono in ritardo.