Vulnerabilidades de segurança descobertas em brinquedos inteligentes para crianças

Essa vulnerabilidade permite que hackers controlem o sistema de robôs para realizar videochamadas com crianças sem o consentimento dos pais. Além disso, os riscos associados à aplicação desse sistema de robôs também expõem outros perigos, como o roubo de informações pessoais das crianças, incluindo nome, sexo, idade e até mesmo localização geográfica.

Este é um robô de brinquedo infantil com sistema Android, equipado com câmera e microfone, que utiliza inteligência artificial para reconhecer e nomear crianças, ajustando automaticamente suas respostas de acordo com o humor da criança. Com o tempo, o robô aprenderá a conhecer a criança. Para aproveitar ao máximo as funcionalidades do robô, os pais precisam baixar um aplicativo de controle em seus dispositivos móveis. Este aplicativo permite que os pais monitorem o processo de aprendizagem da criança e até mesmo façam videochamadas com ela através do robô.

Durante a fase de configuração, os pais são instruídos a conectar o robô ao seu dispositivo móvel via Wi-Fi, após o que fornecem o nome e a idade da criança ao dispositivo. No entanto, especialistas da Kaspersky descobriram um problema de segurança preocupante: a Interface de Programação de Aplicativos (API) que solicita as informações da criança não possui um recurso de autenticação, embora essa seja uma verificação importante para confirmar quem tem permissão para acessar os recursos de rede do usuário.

Isso representa um risco de que cibercriminosos possam interceptar e roubar uma ampla gama de dados, incluindo nomes, idades, gêneros, países de residência e até mesmo endereços IP de crianças, interceptando e analisando a frequência de acesso à rede.

Essa vulnerabilidade permite que um invasor inicie uma chamada de vídeo ao vivo com uma criança, ignorando completamente o consentimento dos pais. Se a criança aceitar a chamada, o invasor pode trocar informações secretamente com ela sem a permissão dos pais. Nesse caso, o invasor pode manipular a criança, atraí-la para fora de casa ou induzi-la a realizar ações perigosas.

Além disso, problemas de segurança no aplicativo do dispositivo móvel dos pais podem permitir que um invasor controle o robô remotamente e obtenha acesso não autorizado à rede. Utilizando métodos de força bruta para recuperar a senha OTP e o recurso de tentativas ilimitadas de login com falha, o invasor poderia vincular remotamente o robô à sua própria conta, desativando assim o controle do dispositivo pelo proprietário.

Nikolay Frolov, pesquisador sênior de segurança do Kaspersky ICS CERT, comentou: "Ao comprar brinquedos inteligentes, é importante considerar não apenas seu valor de entretenimento e educação , mas também seus recursos de segurança. Embora exista uma percepção geral de que preços mais altos significam maior segurança, é importante observar que mesmo os brinquedos inteligentes mais caros não são completamente imunes a vulnerabilidades que podem ser exploradas por invasores. Portanto, os pais devem ler atentamente as avaliações dos brinquedos, sempre atualizar os dispositivos inteligentes para as versões mais recentes e monitorar de perto as atividades de seus filhos."