Kerentanan keamanan ditemukan pada mainan pintar anak-anak

Kerentanan ini memungkinkan peretas mengendalikan sistem robot untuk melakukan obrolan video dengan anak-anak tanpa izin orang tua. Tidak hanya itu, risiko yang terkait dengan penerapan sistem robot ini juga menimbulkan bahaya lain, seperti informasi pribadi anak-anak, termasuk nama, jenis kelamin, usia, dan bahkan lokasi geografis, dapat dicuri.

Ini adalah robot mainan anak-anak berbasis Android yang dilengkapi kamera dan mikrofon. Robot ini memanfaatkan kecerdasan buatan untuk mengenali dan memberi nama anak, menyesuaikan respons secara otomatis berdasarkan suasana hati anak, dan seiring waktu, robot akan mengenali anak tersebut. Untuk memanfaatkan fitur-fitur robot ini secara maksimal, orang tua perlu mengunduh aplikasi kontrol di perangkat seluler mereka. Aplikasi ini memungkinkan orang tua untuk memantau proses belajar anak mereka dan bahkan melakukan panggilan video dengan anak melalui robot.

Selama tahap pengaturan, orang tua diminta untuk menghubungkan robot ke perangkat seluler mereka melalui Wi-Fi, lalu memberikan nama dan usia anak ke perangkat. Namun, para ahli Kaspersky menemukan masalah keamanan yang mengkhawatirkan: Antarmuka Pemrograman Aplikasi (API) yang meminta informasi anak tidak memiliki fitur autentikasi, padahal fitur ini merupakan pemeriksaan penting untuk memastikan siapa yang diizinkan mengakses sumber daya jaringan pengguna.

Hal ini menimbulkan risiko bahwa penjahat dunia maya dapat mencegat dan mencuri berbagai macam data, termasuk nama anak, usia, jenis kelamin, negara tempat tinggal, dan bahkan alamat IP, dengan mencegat dan menganalisis frekuensi akses jaringan mereka.

Kerentanan ini memungkinkan penyerang untuk memulai panggilan video langsung dengan seorang anak, tanpa perlu izin akun orang tua. Jika anak tersebut menerima panggilan tersebut, penyerang dapat secara diam-diam bertukar informasi dengan anak tersebut tanpa izin orang tua. Dalam hal ini, penyerang dapat memanipulasi anak, memancingnya keluar rumah, atau membimbingnya untuk melakukan tindakan berbahaya.

Lebih lanjut, masalah keamanan pada aplikasi di perangkat seluler orang tua dapat memungkinkan penyerang mengendalikan robot dari jarak jauh dan mendapatkan akses tanpa izin ke jaringan. Dengan menggunakan metode brute-force untuk memulihkan kata sandi OTP dan fitur upaya masuk gagal tanpa batas, penyerang dapat menghubungkan robot ke akunnya sendiri dari jarak jauh, sehingga menonaktifkan kendali pemilik atas perangkat.

Nikolay Frolov, peneliti keamanan senior di Kaspersky ICS CERT, berkomentar: "Saat membeli mainan pintar, penting untuk mempertimbangkan tidak hanya nilai hiburan dan edukasinya , tetapi juga fitur keselamatan dan keamanannya. Meskipun ada persepsi umum bahwa harga yang lebih tinggi berarti keamanan yang lebih baik, penting untuk dicatat bahwa bahkan mainan pintar termahal pun tidak sepenuhnya kebal terhadap kerentanan yang dapat dieksploitasi oleh penyerang. Oleh karena itu, orang tua harus membaca ulasan mainan dengan saksama, selalu memperbarui perangkat pintar ke versi terbaru, dan memantau aktivitas bermain anak-anak mereka dengan saksama."