le notizie che fanno testo, dal 2010

Hacktive Security: sorpresa di Magic Kinder? Bambini a rischio su FamilyDiary

Magic Kinder aveva una falla informatica scoperta da Hacktive Security. La notizia ha fatto il giro del mondo dato che su Magic Kinder secondo HS un utente malintenzionato poteva violare "la privacy di tutti i bambini, rendendo possibile (...) leggere la chat dei bambini, inviare loro messaggi, fotografie e video o cambiare dati del profilo utente". Con gli ultimi aggiornamenti per iOS e Android il problema di Magic Kinder è stato risolto. Ma i problemi di sicurezza della "generazione touchscreen" permangono.

Vedere neonati messi davanti ai tablet per salutare i nonni, osservare lattanti cullati da nenie animate che danzano su grandi smartphone, scoprire mocciosi dell'asilo che portano all'orecchio il cellulare 4G di mamma, guardare fanciulli delle elementari che ne posseggono già uno di smartphone, è ormai cosa comune.
Per la cronaca su App Store nel 2013 i titoli per bambini erano oltre 40mila e solamente nella parte italiana le app per neonati contavano 4 mila risultati.
La telefonia mobile con il suo elettrosmog ha ormai completamente sfondato la barriera ematoencefalica dell'educazione e della prudenza familiare, per diventare non solo comune ma quasi obbligatoria, per ogni bambini "integrato", "contemporaneo" e "moderno".

Con l'orgoglio di star "educando" (o edutainmentando?) una generazione di "nativi digitali" e "bambini digitalizzati" le famiglie italiane, schiacciate dal conformismo e dalla pubblicità (che plasma le sue strategie proprio sui minori) non hanno ormai più nessuna remora ad avvicinare (e a far utilizzare) smartphone e tablet ai propri bambini.
Neppure una trasmissione nazionalpopolare e seguitissima dalla mamme moderne, come "Le Iene" è riuscita a far comprendere come le onde dei cellulari addirittura trapassino da parte a parte il cranio dei più piccoli, con delle conseguenze che solamente il prossimo futuro potrà calcolare.

Non aiuta certo l'analfabetismo funzionale dilagante che impedisce sovente di rendersi conto di come un tablet o uno smartphone (soprattutto collegato in Rete) sia un oggetto di per sé "per aldulti", dato che, come tutti gli oggetti informatici che contengono dei dati intimi, può essere violato da malintenzionati.
In questa cornice è da valutare il nuovo allarme che sta correndo per la Rete, quello che avverte come la famosa app "Magic Kinder" di Ferrero, scaricabile da App Store e Google Play, sia "attaccabile" dagli hacker. A rischio potenziale i dati dei bambini e la possibilità che gli hacker possano in qualche modo contattare il minore.

Ma che cosa è Magic Kinder? E che cosa è successo realmente? Per comprendere che cosa sia Magic Kinder è utile leggere qualche riga del comunicato stampa istituzionale diramato nell'ottobre del 2014 dalle "quattro società hanno lavorato insieme al progetto Magic Kinder applicando ognuna le proprie competenze", e cioè Frog, Reply, More Interactive e Zodiak Active. Magic Kinder è infatti un'app globale "diffusa in 59 paesi, ricca di centinaia di contenuti originali localizzati in 10 lingue, (..) fornisce occasioni di Edutainment destinate alle famiglie". Le lingue di Magic Kinder sono inglese, italiano, spagnolo, brasiliano, francese, tedesco, russo, cinese, polacco, arabo e l'app "conterrà 10 canali tematici (tra cui Natoons, Sprinty, GoMove, MixArt, Lei, Destination English, Funniversary) declinati su diversi generi dell'Edutainment", si legge nella nota.

All'interno di questo "giardino recintato" (nel senso di Steve Jobs) costruito per il target del cioccolato a marchio Kinder si sottolinea poi come "i contenuti, tutti originali, spaziano dalle video-clip documentario sugli animali alle favole della buonanotte, edu-game, 'disegna e colora' fino ai contenuti scaricabili per costruire e personalizzare i personaggi Kinder Sorpresa". Ovviamente, si comunica ancora, "l'applicazione è pensata non solo per i piccoli, ma anche per i genitori, come ulteriore occasione per stare insieme in famiglia, con il meglio dell'intrattenimento educativo per i più piccoli".

Se da decenni dare in pasto al bambino l'ovetto Kinder e farlo giocare con la sua "mitica" sorpresa è un fatto che il genitore (o il nonno o lo zio) mette in atto con piena fiducia (anche se qualche volta possono capitare degli imprevisti, leggi il nostro "Frosinone: bimbo apre ovetto Kinder e trova un farmaco nella sorpresa"), dare in mano un tablet collegato ad internet con la stessa disinvoltura (chiaramente non per mangiarlo) avrebbe potuto però, minimamente, porre qualche remota remora al moderno "genitore digitale" che sta su feisbuc.

Così il team che ha creato Magic Kinder rassicurava prontamente nella nota stampa: "Le famiglie di tutto il mondo potranno gestire i contenuti dell'app Magic Kinder per i propri figli in piena sicurezza (sic). L'applicazione offre ai genitori la possibilità di controllare i contenuti dell'app e il comportamento di ciascun bambino anche da remoto attraverso un completo sistema di parental control. Inoltre con il Family Diary delle attività della famiglia si potrà anche restare in contatto attraverso un semplice e divertente sistema di messaggistica istantanea e scambio contenuti. L'intera app, dunque, è stata pensata nel pieno rispetto delle dinamiche familiari e del rapporto genitoriale, in cui Kinder Sorpresa cura i contenuti per i bambini e i genitori sanno sempre cosa fanno i propri figli".

Insomma, a prescindere dall'opportunità formativa dei contenuti presenti in Magic Kinder e dalla scelta educativa (ed elettromagnetica) di consegnare nelle mani di un bambino un tablet, tutto un genitore si sarebbe aspettato tranne che questa app potesse rappresentare un potenziale pericolo. A scoprire la "sorpresa" dentro Magic Kinder è stata un paio di settimane fa Hacktive Security. Hacktive Security è una società di sicurezza e di consulenza informatica indipendente che si occupa di servizi nel settore della Information & Communication Technology. Nel blog di HS intitolato emblematicamente "Happy Hacking Easter (story of privacy violation into an eggshell)" si spiegava il 27 marzo come, in particolare, la funzione di Magic Kinder chiamata "FamilyDiary" fosse potenzialmente "aggredibile" da parte di malintenzionati.

Premette Hacktive Security sul suo post: "Negli ultimi anni abbiamo visto un'evoluzione nello stile di vita, e l'identità digitale sta diventando parte della nostra vita reale con tutti i rischi connessi. I nostri bambini 'nativi digitali' hanno accesso a tecnologie digitali in rete, giocando con i tablet, smartphone o smart toys. Dobbiamo fare in modo che questo nuovo tipo di 'gioco' sia sicuro come lo è un giocattolo fisico". HS spiega come "il ricercatore presenta la sua analisi sulla privacy dell'app Magic Kinder prendendo spunto da una nipote che ha chiesto al suo caro zio di installare questa app sul suo smartphone".

Come si legge su QS "il caro zio" si chiama Massimo Bozza e ha scoperto come l'app permettese anche di "registrarsi con dati falsi". Rivela sempre QS come Carlo Pelliccioni di Hacktive Security "ci ha spiegato che questo spazio virtuale non era 'privato' come avrebbe dovuto. Chiunque, con delle competenze informatiche, avrebbe potuto violarlo prima dell'aggiornamento. Chi si introduceva avrebbe potuto visualizzare non solo i contenuti condivisi ma anche modificare le informazioni del profilo, inviando foto e messaggi di testo".

La società di sicurezza informatica precisa sul suo blog: "La funzione di condivisione viene chiamata FamilyDiary, questa funzione dovrebbe essere riservata solo ai membri della famiglia e gli amici, l'obiettivo della nostra ricerca è quello di dimostrare la completa assenza di meccanismi di restrizione per la condivisione di contenuti, questo potrebbe consentire violazione della privacy di tutti i bambini, rendendo possibile per un utente malintenzionato di leggere la chat dei bambini, inviare loro messaggi, fotografie e video o cambiare dati del profilo utente quali la data di nascita e sesso".

Ovviamente Hacktive Security per la sua etica nella divulgazione di questo tipo di problematiche di sicurezza, una volta scoperta la falla informatica sulla app Magic Kinder ha segnalato immediatamente il problema ai responsabili (vendor, ndr) della app (con una email dell'8 marzo 2016 e in una del 14 marzo) ma, come scrive sul blog "le email sono state lasciate senza risposta o ignorate (unreplied/ignored, ndr)". Ecco perché, quasi evangelicamente, la terza volta HS ha deciso di parlarne pubblicamente.

Anche nella reattiva e velocissima rete mediatica italiana la falla di Magic Kinder è stata pressoché ignorata, almeno sino a quando anche all'estero hanno scoperto la "sorpresa", portando quindi anche i giornali italiani a stracciarsi le vesti. Un esempio per tutti è stato "The Register" che il 5 aprile ha titolato: "Sorpresa! Magic Kinder app potrebbe permettere agli hacker di inviare video ai vostri bambini", un titolo che appunto lascia poco all'immaginazione. Addirittura un esperto informatico di Pen Test Partners (altra società di sicurezza informatica indipendente) sottolineava al giornale inglese come la falla fosse grave anche perché Magic Kinder "non utilizza la crittografia".

Finalmente con gli ultimi aggiornamenti dell'app Magic Kinder per Android e iOS la falla scoperta da Hacktive Security è stata corretta e l'applicazione della Ferrero oggi risulta sicura. E pensare che Alessandro Gozzo, Head of MPG-Ferrero Digital Marketing, al momento del lancio descriveva così Magic Kinder: "Con Magic Kinder App vogliamo offrire alle famiglie un nuovo strumento per trascorrere momenti speciali insieme". La speranza è sempre che i momenti speciali, anche con la "generazione touchscreen", rimangano sempre all'interno della propria famiglia.

• DALLA PRIMAPAGINA:

• POTREBBE INTERESSARTI:

• LE ALTRE NOTIZIE: