Odkryto luki w zabezpieczeniach inteligentnych zabawek dla dzieci

Ta luka pozwala hakerom kontrolować system robota i prowadzić wideorozmowy z dziećmi bez zgody rodziców. Co więcej, ryzyko związane z zastosowaniem tego systemu robota stwarza również inne zagrożenia, takie jak kradzież danych osobowych dzieci, takich jak imię, płeć, wiek, a nawet lokalizacja geograficzna.

To zabawkowy robot dla dzieci z systemem Android, wyposażony w kamerę i mikrofon. Wykorzystuje on sztuczną inteligencję do rozpoznawania i nadawania imion dzieciom, automatycznie dostosowuje reakcje do ich nastroju, a z czasem robot będzie je poznawał. Aby w pełni wykorzystać możliwości robota, rodzice muszą pobrać aplikację sterującą na swoje urządzenia mobilne. Aplikacja ta pozwala rodzicom monitorować proces uczenia się dziecka, a nawet prowadzić z nim wideorozmowy za pośrednictwem robota.

Podczas fazy konfiguracji rodzice są instruowani, aby połączyć robota ze swoim urządzeniem mobilnym przez Wi-Fi, a następnie podać mu imię i wiek dziecka. Eksperci z Kaspersky odkryli jednak niepokojący problem z bezpieczeństwem: interfejs API (Application Programming Interface), który żąda informacji o dziecku, nie posiada funkcji uwierzytelniania, podczas gdy jest to ważny element weryfikacji uprawnień dostępu do zasobów sieciowych użytkownika.

Stwarza to ryzyko, że cyberprzestępcy mogą przechwycić i ukraść szeroką gamę danych, w tym imiona dzieci, ich wiek, płeć, kraj zamieszkania, a nawet adresy IP, poprzez przechwytywanie i analizę częstotliwości dostępu do sieci.

Ta luka w zabezpieczeniach umożliwia atakującemu zainicjowanie połączenia wideo na żywo z dzieckiem, całkowicie omijając zgodę rodzica. Jeśli dziecko zaakceptuje połączenie, atakujący może potajemnie wymieniać się informacjami z dzieckiem bez zgody rodzica. W takim przypadku atakujący może manipulować dzieckiem, wywabiać je z domu lub nakłaniać do wykonywania niebezpiecznych czynności.

Co więcej, problemy z bezpieczeństwem aplikacji na urządzeniu mobilnym rodzica mogą umożliwić atakującemu zdalne sterowanie robotem i uzyskanie nieautoryzowanego dostępu do sieci. Wykorzystując metody brute force do odzyskania hasła jednorazowego (OTP) oraz funkcję nieograniczonej liczby nieudanych prób logowania, atakujący może zdalnie połączyć robota ze swoim kontem, uniemożliwiając właścicielowi kontrolę nad urządzeniem.

Nikołaj Frołow, starszy badacz ds. bezpieczeństwa w Kaspersky ICS CERT, skomentował: „Kupując inteligentne zabawki, należy wziąć pod uwagę nie tylko ich wartość rozrywkową i edukacyjną , ale także bezpieczeństwo i funkcje zabezpieczeń. Chociaż panuje powszechne przekonanie, że wyższa cena oznacza lepsze bezpieczeństwo, należy pamiętać, że nawet najdroższe inteligentne zabawki nie są całkowicie odporne na luki w zabezpieczeniach, które mogą wykorzystać atakujący. Dlatego rodzice powinni uważnie czytać recenzje zabawek, zawsze aktualizować urządzenia inteligentne do najnowszych wersji i uważnie monitorować zabawę swoich dzieci”.