Sikkerhetssårbarheter oppdaget i barns smarte leker

Denne sårbarheten lar hackere kontrollere robotsystemet for å videochatte med barn uten foreldrenes samtykke. Ikke bare det, risikoene forbundet med bruken av dette robotsystemet åpner også for andre farer, for eksempel at barns personlige opplysninger, inkludert navn, kjønn, alder og til og med geografisk plassering, kan bli stjålet.

Dette er en Android-drevet lekerobot for barn utstyrt med kamera og mikrofon, som bruker kunstig intelligens til å gjenkjenne og navngi barn, automatisk justere svar basert på barnets humør, og over tid vil roboten bli kjent med barnet. For å utnytte robotens funksjoner fullt ut, må foreldre laste ned en kontrollapplikasjon på mobilenhetene sine. Denne applikasjonen lar foreldre overvåke barnets læringsprosess og til og med foreta videosamtaler med barnet gjennom roboten.

I løpet av oppsettfasen blir foreldre bedt om å koble roboten til mobilenheten sin via Wi-Fi, hvoretter de oppgir barnets navn og alder til enheten. Kaspersky-eksperter oppdaget imidlertid et bekymringsfullt sikkerhetsproblem: Application Programming Interface (API) som ber om barneinformasjon mangler en autentiseringsfunksjon, selv om dette er en viktig sjekk for å bekrefte hvem som har tilgang til brukerens nettverksressurser.

Dette utgjør en risiko for at nettkriminelle kan avlytte og stjele et bredt spekter av data, inkludert barns navn, alder, kjønn, bostedsland og til og med IP-adresser, ved å avlytte og analysere nettverkstilgangsfrekvensen deres.

Denne sårbarheten lar en angriper starte en direktesendt videosamtale med et barn, og dermed fullstendig omgå samtykket fra foreldrekontoen. Hvis barnet godtar samtalen, kan angriperen i hemmelighet utveksle informasjon med barnet uten foreldrenes tillatelse. I dette tilfellet kan angriperen manipulere barnet, lokke barnet ut av huset eller veilede barnet til å utføre farlige handlinger.

Videre kan sikkerhetsproblemer med appen på foreldrenes mobilenhet gjøre det mulig for en angriper å fjernstyre roboten og få uautorisert tilgang til nettverket. Ved å bruke brute-force-metoder for å gjenopprette OTP-passordet og funksjonen med ubegrensede mislykkede innloggingsforsøk, kan angriperen eksternt koble roboten til sin egen konto, og dermed deaktivere eierens kontroll over enheten.

Nikolay Frolov, senior sikkerhetsforsker hos Kaspersky ICS CERT, kommenterte: «Når du kjøper smartleker, er det viktig å ikke bare vurdere underholdnings- og pedagogiske verdier, men også sikkerhetsfunksjonene. Selv om det er en generell oppfatning at høyere priser betyr bedre sikkerhet, er det viktig å merke seg at selv de dyreste smartlekene ikke er helt immune mot sårbarheter som angripere kan utnytte. Derfor bør foreldre lese leketøysanmeldelser nøye, alltid oppdatere smartenheter til de nyeste versjonene og nøye overvåke barnas lekeaktiviteter.»