Исследователи «Лаборатории Касперского» обнаружили уязвимости в умных игрушечных роботах, из-за которых дети могут стать мишенью для киберпреступников.
Эта уязвимость позволяет хакерам управлять роботизированной системой для видеочата с детьми без согласия родителей. Более того, использование этой роботизированной системы сопряжено с другими опасностями, такими как кража личной информации ребёнка, включая имя, пол, возраст и даже географическое местоположение.
Это детский игрушечный робот на базе Android, оснащенный камерой и микрофоном. Он использует искусственный интеллект для распознавания детей, называет их имена и автоматически корректирует реакции в зависимости от их настроения. Через некоторое время робот узнает ребёнка. Чтобы в полной мере воспользоваться всеми возможностями робота, родителям необходимо загрузить приложение для управления на свои мобильные устройства. Это приложение позволяет родителям контролировать процесс обучения ребёнка и даже совершать с ним видеозвонки через робота.
В частности, эксперты «Лаборатории Касперского» обнаружили тревожную проблему безопасности: в интерфейсе прикладного программирования (API), запрашивающем информацию о ребенке, отсутствует функция аутентификации, хотя это важная проверка для подтверждения того, кому разрешен доступ к сетевым ресурсам пользователя. Это создает риск того, что киберпреступники могут вмешаться и украсть различные типы данных, включая имя ребенка, возраст, пол, страну проживания и даже IP-адрес, перехватывая и анализируя частоту сетевого доступа. Эта уязвимость позволяет злоумышленнику инициировать видеозвонок с ребенком в режиме реального времени, полностью обходя согласие родительской учетной записи. Если ребенок принимает звонок, злоумышленник может тайно обмениваться с ребенком информацией без разрешения родителя. В этом случае злоумышленник может манипулировать , выманивать ребенка из дома или приказывать ему совершать опасные действия.
Кроме того, проблемы безопасности приложения на мобильном устройстве родителя могут позволить злоумышленнику удалённо управлять роботом и получить несанкционированный доступ к сети. Используя методы подбора одноразовых паролей (OTP) и функцию неограниченного количества неудачных попыток входа в систему, злоумышленник может удалённо подключить робота к своей учётной записи, тем самым лишив владельца возможности управлять устройством.
Для обеспечения безопасности умных устройств эксперты «Лаборатории Касперского» дали следующие советы:
• Регулярно обновляйте свои устройства: обновляйте прошивку, запрограммированную на вашем электронном устройстве, и программное обеспечение всех подключенных устройств, включая умные игрушки. Эти обновления часто содержат важные исправления безопасности для устранения уязвимостей.
• Изучите информацию о продуктах перед покупкой: внимательно изучите политику безопасности и конфиденциальности производителя, прежде чем приобретать умную игрушку или любое другое подключенное устройство. Выбирайте устройства от проверенных брендов, желательно тех, которые уделяют особое внимание безопасности и регулярно обновляют свои продукты.
• Будьте осторожны с разрешениями приложений: проверьте и ограничьте доступ мобильных приложений к смарт-устройствам. Предоставляйте доступ только к функциям и данным и воздержитесь от предоставления ненужных привилегий.
• Выключайте устройство, когда оно не используется: выключайте умную игрушку, когда она не используется, чтобы предотвратить утечку данных. Если устройство оснащено микрофоном, храните его в труднодоступном месте, закрывайте его или направляйте камеру в сторону, когда оно не используется.
• Используйте надежное решение безопасности: используйте надежное решение безопасности, чтобы защитить всю экосистему ваших смарт-устройств.
«При покупке умных игрушек важно учитывать не только их развлекательную и образовательную ценность, но и их безопасность. Поэтому родителям следует внимательно читать обзоры игрушек, обновлять умные устройства до последних версий и внимательно следить за играми своих детей», — отметил Николай Фролов, старший исследователь по безопасности Kaspersky ICS CERT.
БИНЬ ЛАМ
Источник
Комментарий (0)