Versões conectadas de brinquedos sexuais podem se tornar alvo de hackers. Pesquisadores da ESET descobriram que os principais acessórios sexuais do mercado (vibradores, masturbadores etc) não deixam claras suas políticas de privacidade e têm falhas graves de segurança. Uma vez exploradas por criminosos, estas vulnerabilidades podem expor informações íntimas dos usuários e até dar o controle do aparelho à distância a um desconhecido, resultando em abuso sexual. O estudo foi apresentado na última terça-feira (5), durante o 6º Fórum de Segurança Digital da ESET, em Cancún, México.

Quer comprar celular, TV e outros produtos com desconto? Conheça o Compare TechTudo

Como o ataque acontece?

Os vibradores inteligentes se conectam com o celular do usuário. Por meio de um aplicativo, é possível controlar o ritmo do aparelho, escolher uma música ou conversar (por texto e vídeo), enviar fotos ou ceder o controle do "brinquedo" a um parceiro. Para fazer tudo isso, os aparelhos contam com conexão Bluetooth ou Wi-Fi — e é aí que está o perigo. Assim como qualquer outro dispositivo com acesso à Internet (IoT), os smart toys podem ser interceptados.

Segundo as analistas de segurança da ESET que conduziram a pesquisa, o acesso de uma pessoa mal intencionada ao gadget pode trazer graves consequências. "Se somarmos o valor que a informação muito privada tem às vulnerabilidades que encontramos, o resultado é catastrófico", alertaram Cecilia Pastorino e Denise Giusto Bilic, durante sua apresentação no evento.

As falhas de segurança estão por toda parte, como mostra a pesquisa. Elas vão desde problemas no protocolo Bluetooth, bancos de dados desprotegidos ou APIs inseguras até senhas fáceis de descobrir. "O hacker pode fazer ataques de negação de serviço, ataque de ransomware, sequestrando o dispositivo e pedindo resgate em bitcoin, ou modificar as funções do equipamento para vibrar com muito mais intensidade do que ele suporta até fazê-lo explodir", alerta Cecilia Pastorino.

A pesquisadora explica que o Bluetooth, por exemplo, fica o tempo todo publicando conexões até que seja vinculado a um celular. Com um simples app que escaneia o sinal, é possível ver o nome aparelho que está buscando uma conexão, saber que se trata de um modelo de vibrador e em quantos decibéis ele opera. Com outro app - também fácil de usar - uma pessoa mal intencionada conseguiria rastrear a localização do aparelho e, logo, saber quem está com ele na bolsa (ou outro lugar).

Além disso, enquanto alguns aplicativos prezam pela privacidade dos usuários e fazem a conversa desaparecer depois de um tempo, outros permitem fazer prints da tela sem a outra pessoa saber ou encaminhar fotos, além de manter as imagens na galeria de quem recebeu.

Outro perigo está na senha. Todos os aplicativos analisados pela ESET pedem que o usuário defina uma senha de segurança de quatro dígitos, o que já é uma barreira para crianças que mexem no celular ou "amigos" curiosos. No entanto, em alguns casos, basta que um hacker use um método chamado bruteforcing para testar todas as combinações possíveis e, em poucas horas, consiga acessar os apps ou conversas de várias pessoas.

Piores consequências

  • Informações compartilhadas sem autorização

Durante a pesquisa, as analistas descobriram que a maioria dos manuais dos acessórios sexuais trazem as especificações técnicas dos produtos, mas nada falam sobre coleta de dados. "Encontramos descrições sobre tempo de uso, garantia, especificações técnicas etc, mas não encontramos nenhum detalhes sobre quais informações as fabricantes estão usando, como estão criptografando esses dados, onde estão guardando. Iss

... o não vimos no manual de nenhum produto", ressaltou Denise. Com isso, informações íntimas são compartilhadas com empresas de forma não consensual e sem que os usuários saibam qual será seu destino.
  • Vazamento de dados íntimos

Os brinquedos sexuais são capazes de enviar para o servidor da fabricante dados de localização do usuário, temperatura, dados de conta (como e-mail, por exemplo), padrão de vibração, momentos em que é mais usado etc. E, em geral, não oferecem protocolos de segurança muito avançados. Logo, dão margem para que hackers invadam a rede e descubram informações muito pessoais sobre usuários.

"Há países que têm restrições à respeito da sexualidade, em que a venda de gadgets sexuais é proibida e homossexuais podem ser presos ou condenados à morte. Esse tipo de dado, uma vez descoberto, pode trazer diversos problemas para a privacidade do usuário, sua intimidade e integridade", reflete Cecilia.

Alguns aparelhos contam, inclusive, com câmeras e microfones. Se essas imagens e áudios caem em mãos erradas, podem se tornar material para extorsão (ou sextorção).

  • Acesso de outra pessoa ao brinquedo sexual sem consentimento

As pesquisadoras também descobriram que, de forma simples, um hacker pode interceptar a comunicação entre o vibrador e o celular. Com o conhecimento necessário e estando a menos de 10 metros de distância da vítima (alcance máximo do sinal Bluetooth), o hacker pode receber todos os comandos que o usuário envia para o sex toy ou mandar seus próprios comandos para o dispositivo, resultando em violação do corpo da vítima. Como explica Cecilia: "se o hacker tomar o controle do dispositivo quando o usuário não lhe deu autorização, podemos, inclusive, estar falando de estupro".

Robôs sexuais

Os robôs sexuais são um caso à parte. As bonecas — e bonecos – que se comunicam com os donos e aprendem com suas ações estão equipadas com inteligência artificial. Para isso, eles contam com um "cérebro", que nada mais é que um celular ou tablet Android que fica dentro da cabeça do robô. Ou seja, "todos os problemas de segurança que afetam os celulares podem ser encontrados também nos robôs sexuais", explica Cecilia.

Em contato com o fabricante desse tipo de brinquedo, as pesquisadoras da ESET descobriram informações técnicas sobre os produtos (32 GB de memória e apps de inteligência artificial pré-instalados, por exemplo) mas, novamente, nada sobre as políticas de segurança.

É possível se proteger?

Quem pensa que se "relacionar" com objetos ou bonecas sexuais é menos perigoso do que com outros seres humanos pode estar enganado. O sexo que envolve tecnologia também precisa de proteção. As especialistas recomendam, em primeiro lugar, buscar informações sobre vulnerabilidades prévias do aparelho que se pretende adquirir. Se a fabricante já tiver passado por processos por vazamento de informações, é possível que tenha melhorado suas políticas de segurança - ou não. Vale a pena checar antes de comprar.

O aplicativo de cada marca fica disponível nas lojas de app mesmo para quem não tem o dispositivo sexual. Antes de comprar, o consumidor pode instalar a aplicação no celular para conhecer as funções disponíveis e ler os termos e condições de serviço. Assim, pode saber como a empresa trata seus dados. Quais informações coletam? Que permissões o app pede para funcionar? Onde são armazenados os dados? Quem pode ter acesso?

Evitar compartilhar fotos ou, quando o fizer, ter o cuidado de apagar metadados antes de enviar a imagem. Os dados ocultos das fotos podem revelar localização e outros dados pessoais. Por falar neles, ao fazer login no app, é recomendado não usar o e-mail pessoal ou informar o nome verdadeiro, número de documentos ou outros dados sensíveis. Uma sugestão é criar outro e-mail, exclusivo, para se registrar no app do vibrador.

Por fim, manter o celular protegido de malwares usando antivírus, nunca baixar apps fora das lojas oficiais do Android ou iPhone (iOS) e evitar usar Wi-Fi público também são medidas básicas de segurança que servem para outras tecnologias, além dos acessórios sexuais. "Uma forma de manter seguros esses dispositivos, já que não há uma solução de segurança específica para cada um, é aumentar a proteção da rede e do celular", alerta Denise.

Assim como em qualquer aparelho da Internet das Coisas, ainda há um longo caminho a percorrer no que diz respeito à segurança. "São muitos os novos debates que se abrem a partir dos aparelhos que se conectam à Internet", reflete Cecilia. Por isso, as pesquisadoras alertam que os consumidores devem começar a se preocupar com sua privacidade e exigir que toda a indústria seja transparente quanto a suas políticas de dados e cuidadosas quanto às possíveis brechas de segurança. Denise completa: "como sempre, primeiro vem a demanda legal e depois, sim, as empresas passam a reparar neste tipo de questão".

*A jornalista viajou para Cancún a convite da ESET

Robô sexual: o que você acha de máquinas que substituem humanos? Comente no Fórum do TechTudo.



>>> Veja o artigo completo no TechTudo