カスペルスキーの研究者らは、子供たちがサイバー犯罪者の標的になる可能性のある、スマートおもちゃロボットの脆弱性を発見した。
この脆弱性により、ハッカーはロボットシステムを操作して、保護者の同意なしに子供とビデオチャットを行うことが可能です。さらに、このロボットシステムの適用に伴うリスクは、子供の名前、性別、年齢、さらには位置情報といった個人情報の盗難など、他の危険も引き起こします。
これはAndroid搭載の子供用おもちゃロボットで、カメラとマイクを搭載しています。人工知能(AI)を活用して子供を認識し、名前を付け、子供の気分に合わせて自動的に反応を調整します。そして、ロボットは時間の経過とともに子供を理解していきます。ロボットの機能を最大限に活用するには、保護者がモバイルデバイスに制御アプリケーションをダウンロードする必要があります。このアプリケーションを使用すると、保護者は子供の学習プロセスを監視したり、ロボットを介して子供とビデオ通話したりすることができます。
具体的には、カスペルスキーのエキスパートは、懸念されるセキュリティ問題を発見しました。子供の情報を要求するアプリケーションプログラミングインターフェースに認証機能が欠けていますが、これはユーザーのネットワークリソースへのアクセスが許可されているかどうかを確認するための重要なチェックです。これにより、サイバー犯罪者がネットワークアクセスの頻度を傍受して分析することで、子供の名前、年齢、性別、居住国、さらにはIPアドレスなど、さまざまなデータを妨害して盗むリスクがあります。この脆弱性により、攻撃者は親のアカウントの同意を完全に回避して、子供とのライブビデオ通話を開始できます。子供が通話を受け入れると、攻撃者は親の許可なく子供と秘密裏に秘密を交換できます。この場合、攻撃者は子供を操作して家から誘い出したり、危険な行動をとるように誘導したりできます。
さらに、保護者のモバイルデバイス上のアプリのセキュリティ上の問題により、攻撃者がロボットを遠隔操作し、ネットワークへの不正アクセスを行う可能性があります。ブルートフォース攻撃によってOTPパスワードを復元し、無制限のログイン試行回数を制限できる機能を利用することで、攻撃者はロボットを自身のアカウントに遠隔接続し、所有者によるデバイスの操作を無効化することが可能です。
スマートデバイスの安全性を確保するために、カスペルスキーの専門家は次のようなアドバイスを提供しています。
• テクノロジーデバイスを定期的にアップデートする:電子機器のハードウェアにプログラムされているファームウェアと、スマートトイを含むすべての接続デバイスのソフトウェアをアップデートしてください。これらのアップデートには、脆弱性を修正するための重要なセキュリティパッチが含まれていることがよくあります。
• 購入前に製品を徹底的に調査する:スマートトイやその他のコネクテッドデバイスを購入する前に、メーカーのセキュリティとプライバシーに関する方針を慎重に確認してください。評判の良いブランドのデバイスを選び、セキュリティに重点を置き、定期的にアップデートを提供しているブランドを優先してください。
• アプリの権限には注意しましょう:モバイルアプリからスマートデバイスへのアクセスを確認し、制限しましょう。機能とデータへのアクセスのみを許可し、不要な権限は付与しないでください。
• 使用していないときは製品の電源を切る:データ漏洩を防ぐため、使用していないときはスマートトイの電源を切ってください。マイク付きのデバイスの場合は、使用していないときは手の届きにくい場所に保管するか、カバーをかけるか、カメラを別の場所に向けるなどしてください。
• 信頼できるセキュリティ ソリューションを使用する: 信頼できるセキュリティ ソリューションを使用して、スマート デバイスのエコシステム全体を保護します。
「スマート玩具を購入する際には、娯楽性や教育的価値だけでなく、安全性やセキュリティ機能も考慮することが重要です。そのため、保護者は玩具のレビューをよく読み、スマートデバイスを常に最新バージョンにアップデートし、お子様の遊びを注意深く監視する必要があります」と、Kaspersky ICS CERTのシニアセキュリティリサーチャー、ニコライ・フロロフ氏は述べています。
ビン・ラム
[広告2]
ソース
コメント (0)