Brinquedos e robôs sexuais inteligentes são perigosos à privacidade

A evolução da inteligência artificial nos permitiu criar e adaptar dezenas de milhares de funções. Nossos smartphones são mais preditivos; buscadores de internet mais hábeis; nossas cafeteiras sabem a hora que gostamos de tomar café. E, num futuro que já estamos vivendo, o sexo com robôs já está acontecendo.

Não somente o ato do sexo, em si, participa da adoção de novas tecnologias, como também os brinquedos sexuais. E, assim como toda e qualquer tecnologia, estes dispositivos podem ser vulneráveis.

A indústria sexual se tornou um alvo dos cibercriminosos pelo grande volume de usuários que acessam e consomem seus produtos. A estimativa é de que esta indústria chegue a US$ 35,5 bilhões até 2023.

No final de 2013, por exemplo, uma brecha no Tinder fazia com que a localização física dos usuários fosse descoberta. Já em 2015, o site de traição Ashley Madison foi hackeado e dados de 37 milhões de usuários roubados.

Mas, além destes exemplos, os brinquedos sexuais, que datam de 1906, também possuem suas vulnerabilidades. Isso é que nos mostraram as especialistas de segurança de TI da ESET Cecilia Pastorino e Denise Giusto Bilic, durante o Fórum de Segurança ESET 2019, em Cancún, México.

Elas separaram dispositivos de duas fabricantes específicas: Lovense e We-Vibe. Num cenário básico, um brinquedo sexual, se hackeado, pode ser usado em ataques de negação de serviço (DoS); em um outro, “o funcionamento do dispositivo pode ser modificado”, explicam as especialistas.

Mas, além desta preocupação, dados de usuários também estão em jogo. “Todo o tempo, esses dispositivos estão transmitindo informações, o que também pode gerar consequências”, disse Cecilia.

Em 2019, os brinquedos sexuais fazem muito mais do que inicialmente foram programados: podem ser controlados remotamente; padrões de vibração podem ser personalizados; há a possibilidade de se criar salas de bate-papo; chamadas e videochamadas; envio de fotos; e até sincronização com audiobooks eróticos.

O que fazem com esses dados?

As especialistas alertam que informações sobre a segurança dos dispositivos não são encontradas nos sites destas empresas. Isto considerando “como os dados são gerados, armazenados e enviados”.

Em suma, eles são controlados por um aplicativo, que se conecta à API da fabricante e retorna o comando; então, via Bluetooth, o comando é enviado ao brinquedo. Que vibra.

Um mini vibrador, que pode ser usado em uma série de ocasiões, também pode coletar informações de locais. Eles também são capazes de identificar padrões de temperatura, vibrações e uso de forma geral.

A We-Vibe, por exemplo, foi multada em US$ 3,7 milhões sobre a coleta de dados pelo aplicativo We-Connect. Foi determinado que a empresa deixasse de coletar informações pessoais e endereços de e-mail. Também, que destruísse dados relacionados coletados no período.

Os riscos destas plataformas não começam e param no usuário final. São utilizadas APIs públicas, protocolos não criptografados, arquivos são alocados em espaço público.

Informações de tokens de uso, horários de atividades, notificações, alcance do Bluetooth e redes Wi-Fi, por exemplo, também podem ser obtidas por um usuário malicioso.

Logo depois dos vazamentos, a We-Vibe corrigou falhas, inclusive adicionando proteção contra ataques de força bruta.

Nem a senha salva

Estes aplicativos, usados para controlar os brinquedos, normalmente possuem algum tipo de bloqueio. Como relatado pelas especialistas, um script de força bruta pode burlar estes bloqueios, permitindo que o brinquedo seja controlado por terceiros.

Alguns destes produtos também permitem que sejam controlados via URL. Este caso é mais visto em camgirls, que podem cobrar usuários para que controlem as vibrações e afins. Inclusive, recentemente, dados de camgirls foram vazados e não estavam criptografados pela controladora de sites do tipo, a VTS Media.

Mas, continuando, as especialistas da ESET demonstraram como é possível invadir e controlar um brinquedo sexual. Elas partem da premissa de que os dispositivos se conectam via Bluetooth Low Energy (BLE), comumente usado em dispositivos IoT.

Eles, então, solicitam pedidos e enviam informações com certa frequência, e isso pode torná-los um potencial alvo. Existem meios de encontrar estes dispositivos com base na proximidade, “o que coloca em risco não somente a privacidade, mas a intimidade das pessoas”.

Por outro lado, é preciso entender que o BLE funciona num raio de dez metros. Desta forma, um ataque MiTM (Man-in-The-Middle) é o mais comum que pode acontecer.

Um interceptador é o que faz esse ataque acontecer. Ele pode ler os comandos do usuário, interceptá-los para obter dados, ou mesmo redirecionar outros comandos ao dispositivo.

São usados dois computadores, neste caso: um que é usado como um “brinquedo falso”, e o outro usado para interceptar a comunicação e retransmitir os comandos.

Se for o caso, o atacante receberá o comando que o usuário enviar pelo console, porém pode replicá-lo, impedi-lo ou realizar novos comandos de maneira remota.

Prazer e riscos em dobro

A Lovense disponibiliza uma linha chamada Nora & Max, com brinquedos para homens e mulheres. É possível sincronizar os dois dispositivos, e como as especialistas da ESET destacam, isto significa que “atacar um significa atacar os dois”.

Um estudo conduzido por elas mostrou que o próprio aplicativo permite enviar fotos, que ficam guardadas no armazenamento remoto do smartphone. Assim, como não estão em um armazenamento individual, as fotos ficam na própria galeria e podem ser acessadas por outros aplicativos.

Mas também existe a possibilidade de enviar as fotos direto do app para outra pessoa. Entretanto, se você optar por deletar essa imagem, ela sumirá apenas do seu chat.

O serviço também permite o controle via URL que utiliza um token alfanumérico de quatro dígitos. Cada token supostamente expira em 30 minutos, mas as especialistas descobriram que é possível burlar esse tempo e gerar novos tokens.

Uma robô que roda Android

No caso da robô sexual da Robot Companion, as especialistas relatam que, mais uma vez, informações de segurança não estão disponíveis no site da fabricante.

Elas entraram em contato com a fabricante e descobriram que a robô baseada em inteligência artificial roda Android, tem 32 GB de memória, possui microfone, se conecta via Wi-Fi e recebe atualizações de software. Ela também possui câmera e sensores de temperatura e pressão.

Isto significa que, assim como o seu smartphone, a boneca que roda Android também é suscetível a ataques de malware, por exemplo.

A ESET informa que o malware está em primeiro lugar em incidentes cibernéticos na América Latina. A empresa de segurança afirma receber uma média de 300 mil amostras únicas de malware por dia (globalmente).

Somente do Android, são identificadas 300 novas variantes de malware por mês. “Os atacantes já começaram há muitos anos a migrar ameaças de computadores para dispositivos móveis”, afirmou Miguel Ángel Mendoza, especialista em segurança da informação da ESET.

É preciso entender que isto não significa “não use novas tecnologias”, ou “sinta medo de dispositivos inteligentes”. Mas, sim, que os riscos de uso sejam compreendidos, e medidas tomadas para evitar que o seu prazer se transforme em um pesadelo.

Cecilia e Denise, especialistas da ESET, afirmam que é preciso se precaver com algumas dicas:

• Buscando informações na internet (se já aconteceram casos de violação de dados de uma fabricante);
• Evitar publicar tokens em redes sociais;
• Evitar o compartilhamento de fotos (ou apagar os metadados antes);
• Não compartilhar fotos que possam lhe identificar;
• Ler os famosos termos e condições de uso;
• Evitar usar contas e/ou dados pessoais sensíveis nos cadastros;
• Proteger seus dispositivos contra malwares e redes públicas.

*O jornalista viajou para Cancún, México, a convite da ESET.