Bezpečnostní zranitelnosti objevené v chytrých hračkách pro děti

Tato zranitelnost umožňuje hackerům ovládat robotický systém pro videochat s dětmi bez souhlasu rodičů. Nejen to, rizika spojená s používáním tohoto robotického systému s sebou nesou i další nebezpečí, jako je například možnost krádeže osobních údajů dětí, včetně jména, pohlaví, věku a dokonce i zeměpisné polohy.

Jedná se o dětského robota s operačním systémem Android, který je vybaven kamerou a mikrofonem. Pomocí umělé inteligence rozpoznává a pojmenovává děti, automaticky upravuje reakce podle nálady dítěte a postupem času se s dítětem seznámí. Aby rodiče mohli plně využít funkce robota, musí si do svého mobilního zařízení stáhnout ovládací aplikaci. Tato aplikace umožňuje rodičům sledovat proces učení jejich dítěte a dokonce s dítětem prostřednictvím robota uskutečňovat videohovory.

Během fáze nastavení jsou rodiče instruováni, aby robota připojili ke svému mobilnímu zařízení přes Wi-Fi, načež do zařízení zadají jméno a věk dítěte. Odborníci ze společnosti Kaspersky však objevili znepokojivý bezpečnostní problém: rozhraní API (Application Programming Interface), které požaduje informace o dítěti, postrádá funkci ověřování, ačkoli se jedná o důležitou kontrolu pro potvrzení, kdo má povolen přístup k síťovým zdrojům uživatele.

To představuje riziko, že kyberzločinci mohou zachytit a ukrást širokou škálu dat, včetně jmen dětí, věku, pohlaví, zemí bydliště a dokonce i IP adres, a to zachycením a analýzou frekvence jejich přístupu k síti.

Tato zranitelnost umožňuje útočníkovi zahájit živý videohovor s dítětem a zcela obejít souhlas rodičů s jeho účtem. Pokud dítě hovor přijme, může si s ním tajně vyměňovat informace bez jeho svolení. V takovém případě může útočník dítětem manipulovat , vylákat ho z domu nebo ho navádět k provádění nebezpečných akcí.

Bezpečnostní problémy s aplikací v mobilním zařízení rodiče by navíc mohly útočníkovi umožnit vzdáleně ovládat robota a získat neoprávněný přístup k síti. Použitím metod hrubé síly k obnovení hesla OTP a funkce neomezeného počtu neúspěšných pokusů o přihlášení by útočník mohl robota vzdáleně propojit se svým vlastním účtem, a tím znemožnit majiteli kontrolu nad zařízením.

Nikolay Frolov, hlavní bezpečnostní výzkumník ve společnosti Kaspersky ICS CERT, k tomu uvedl: „Při nákupu chytrých hraček je důležité zvážit nejen jejich zábavní a vzdělávací hodnotu, ale také jejich bezpečnostní a zabezpečovací prvky. I když panuje obecná představa, že vyšší ceny znamenají lepší zabezpečení, je důležité si uvědomit, že ani ty nejdražší chytré hračky nejsou zcela imunní vůči zranitelnostem, které mohou útočníci zneužít. Rodiče by si proto měli pečlivě číst recenze hraček, vždy aktualizovat chytrá zařízení na nejnovější verze a pečlivě sledovat herní aktivity svých dětí.“