Biztonsági réseket fedeztek fel gyerekeknek szánt okosjátékokban

Ez a sebezhetőség lehetővé teszi a hackerek számára, hogy a robotrendszer irányításával videóchateljenek a gyerekekkel szülői beleegyezés nélkül. Ráadásul a robotrendszer alkalmazásával járó kockázatok további veszélyeket is rejtenek magukban, például ellophatják a gyermekek személyes adatait, beleértve a nevet, nemet, életkort és akár a földrajzi helyet is.

Ez egy Android rendszerű, kamerával és mikrofonnal felszerelt gyermekjáték robot, amely mesterséges intelligenciát használ a gyerekek felismerésére és elnevezésére, automatikusan a gyermek hangulatához igazítja a válaszokat, és idővel a robot megismeri a gyermeket. A robot funkcióinak teljes kihasználásához a szülőknek le kell tölteniük egy vezérlőalkalmazást mobileszközeikre. Ez az alkalmazás lehetővé teszi a szülők számára, hogy figyelemmel kísérjék gyermekük tanulási folyamatát, sőt, videohívásokat is kezdeményezzenek a gyermekkel a roboton keresztül.

A beállítási fázisban a szülők utasítást kapnak, hogy Wi-Fi-n keresztül csatlakoztassák a robotot a mobileszközükhöz, majd megadják a gyermek nevét és életkorát az eszközön. A Kaspersky szakértői azonban egy aggasztó biztonsági problémát fedeztek fel: az alkalmazásprogramozási felület (API), amely a gyermek adatait kéri le, nem rendelkezik hitelesítési funkcióval, pedig ez egy fontos ellenőrzés annak megerősítésére, hogy ki férhet hozzá a felhasználó hálózati erőforrásaihoz.

Ez azzal a kockázattal jár, hogy a kiberbűnözők a hálózati hozzáférési gyakoriságuk lehallgatásával és elemzésével számos adatot lehallgathatnak és ellophatnak, beleértve a gyermekek nevét, életkorát, nemét, lakóhely szerinti országát és akár IP-címét is.

Ez a sebezhetőség lehetővé teszi a támadó számára, hogy élő videohívást kezdeményezzen egy gyermekkel, teljesen megkerülve a szülői fiók hozzájárulását. Ha a gyermek elfogadja a hívást, a támadó titokban információkat cserélhet vele a szülő engedélye nélkül. Ebben az esetben a támadó manipulálhatja a gyermeket, kicsalogathatja a házból, vagy veszélyes cselekedetekre vezetheti.

Továbbá a szülő mobileszközén található alkalmazás biztonsági hibái lehetővé tehetik a támadók számára, hogy távolról irányítsák a robotot, és jogosulatlanul hozzáférjenek a hálózathoz. A brute-force módszerek használatával az OTP jelszó visszaszerzésére és a korlátlan számú sikertelen bejelentkezési kísérlet funkciójával a támadó távolról összekapcsolhatja a robotot a saját fiókjával, ezáltal letiltva a tulajdonost az eszköz feletti ellenőrzésről.

Nyikolaj Frolov, a Kaspersky ICS CERT vezető biztonsági kutatója így nyilatkozott: „Okosjátékok vásárlásakor nemcsak a szórakoztató és oktatási értéküket kell figyelembe venni, hanem a biztonsági és védelmi funkcióikat is. Bár általános vélekedés, hogy a magasabb ár jobb biztonságot jelent, fontos megjegyezni, hogy még a legdrágább okosjátékok sem teljesen immunisak a támadók által kihasználható sebezhetőségekkel szemben. Ezért a szülőknek figyelmesen el kell olvasniuk a játékokról szóló véleményeket, mindig frissíteniük kell okoseszközeiket a legújabb verziókra, és szorosan figyelemmel kell kísérniük gyermekeik játéktevékenységeit.”