Hoje, os dispositivos móveis, como smartphones e tablets, estão bastante incorporados ao dia a dia das crianças. Elas se divertem com aplicativos de jogos, assistem filmes por serviços de streaming e até alguns de seus brinquedos, aparentemente tradicionais, podem ser conectados a aplicativos. Os chamados brinquedos inteligentes possuem funções tão atrativas quanto perigosas. Além de se conectarem a redes de comunicação, também podem coletar dados do ambiente e informações pessoais dos usuários.
Foi pensando em tornar esses brinquedos mais seguros que Luciano Gonçalves de Carvalho desenvolveu a pesquisa que resultou em sua dissertação de mestrado, pelo programa de pós-graduação em Sistemas de Informação da Escola de Artes e Ciências Humanas da Universidade de São Paulo (EACH-USP). Luciano tinha como objetivo definir um conjunto geral de requisitos capazes de tornar um brinquedo inteligente minimamente seguro. Para isso, ele se baseou em três regulamentações internacionais, que incluem o Children’s Online Privacy Protection Act (COPPA), específico para a privacidade das crianças.
No caso do Brasil, segundo o pesquisador, ainda não existem legislações específicas para garantir a segurança das informações coletadas por brinquedos inteligentes. O que se costuma fazer, quando são encontradas falhas em brinquedos nacionais, é enquadrar o problema em legislações mais abrangentes, como a Lei Carolina Dieckmann, que proíbe a invasão de dispositivos sem autorização de seu titular.
O estudo analisou as ameaças apresentadas por sete brinquedos inteligentes. A exemplo dos CloudPets: bichinhos de pelúcia que armazenavam informações pessoais do mais de meio milhão de usuários, em um banco de dados desprotegido. Por meio do cruzamento entre vulnerabilidades como essa e protocolos de segurança utilizados como referência, a pesquisa deu origem a 22 requisitos básicos de segurança. Foram estabelecidos, ainda, testes de segurança a fim de verificar a implementação de tais requisitos.
Segundo o pesquisador, menos da metade dos requisitos propostos já seria suficiente para impedir os problemas de segurança conhecidos até hoje. Por isso, o projeto possui o potencial de tornar toda a categoria de brinquedos inteligentes mais segura. Porém, nem mesmo o atendimento a todos os requisitos definidos seria capaz de garantir a segurança total. “Do ponto de vista do profissional de segurança, eu diria que não existe um brinquedo seguro, assim como nada é 100% seguro. Trabalhamos com níveis aceitáveis de segurança”, esclarece Luciano.
Para ele, um nível aceitável de segurança é não apresentar nenhum dos problemas já reportados, por consumidores ou pesquisas. Isso demandaria das empresas um esforço mínimo para analisar todas as vulnerabilidades conhecidas e desenvolver um produto que não apresente esses problemas.
Esse processo, porém, nem sempre é vantajoso sob o ponto de vista da indústria. Isso, pois ele possui fatores limitantes, como o tempo e o custo de produção. Luciano explica que as empresas costumam investir em segurança para não ter prejuízo, e não para colocar um produto melhor no mercado. Assim, quando os lucros não sofrem grandes riscos, alguns mecanismos de segurança podem ser ignorados. “A indústria quer lançar uma solução rápida e obter um retorno rápido. Às vezes, corrigir um problema que surge depois, do ponto de vista do fabricante, é melhor do que investir antes só pela possibilidade de ele ocorrer”, explica o pesquisador.
O próximo passo da pesquisa já está em andamento. Consiste na criação de um protótipo de brinquedo inteligente que atenda aos 22 requisitos estabelecidos e seja aprovado nos testes propostos. Também se pretende avaliar tais parâmetros e submeter brinquedos inteligentes disponíveis no mercado aos testes de segurança desenvolvidos.
Faça um comentário