Эта уязвимость позволяет хакерам управлять роботизированной системой для видеочата с детьми без согласия родителей. Более того, использование этой роботизированной системы сопряжено с другими опасностями, такими как кража личной информации ребёнка, включая имя, пол, возраст и даже географическое местоположение.
Умные игрушки могут стать целью хакеров
Это детский игрушечный робот на базе Android, оснащенный камерой и микрофоном. Он использует искусственный интеллект для распознавания детей, называет их имена и автоматически корректирует реакции в зависимости от их настроения. Через некоторое время робот узнает ребёнка. Чтобы в полной мере воспользоваться всеми возможностями робота, родителям необходимо загрузить приложение для управления на свои мобильные устройства. Это приложение позволяет родителям контролировать процесс обучения ребёнка и даже совершать с ним видеозвонки через робота.
На этапе настройки родителям предлагается подключить робота к своему мобильному устройству по Wi-Fi, после чего они сообщают устройству имя и возраст ребёнка. Однако специалисты «Лаборатории Касперского» обнаружили тревожную уязвимость безопасности: в интерфейсе прикладного программирования (API), запрашивающем информацию о ребёнке, отсутствует функция аутентификации, хотя это важная проверка для подтверждения того, кому разрешён доступ к сетевым ресурсам пользователя.
Это создает риск того, что киберпреступники могут перехватывать и красть широкий спектр данных, включая имя ребенка, его возраст, пол, страну проживания и даже IP-адрес, перехватывая и анализируя частоту доступа к сети.
Эта уязвимость позволяет злоумышленнику начать видеозвонок с ребёнком в режиме реального времени, полностью игнорируя согласие родительской учётной записи. Если ребёнок принимает звонок, злоумышленник может тайно общаться с ним без разрешения родителя. В этом случае злоумышленник может манипулировать ребёнком, выманить его из дома или приказать ему совершить опасные действия.
Кроме того, проблемы безопасности приложения на мобильном устройстве родителя могут позволить злоумышленнику удалённо управлять роботом и получить несанкционированный доступ к сети. Используя методы подбора одноразовых паролей (OTP) и функцию неограниченного количества неудачных попыток входа в систему, злоумышленник может удалённо подключить робота к своей учётной записи, тем самым лишив владельца возможности управлять устройством.
«При покупке умных игрушек важно учитывать не только их развлекательную и образовательную ценность, но и их безопасность», — отметил Николай Фролов, старший исследователь безопасности Kaspersky ICS CERT. «Хотя существует распространённое мнение, что высокая цена означает более высокий уровень безопасности, важно отметить, что даже самые дорогие умные игрушки не полностью защищены от уязвимостей, которыми могут воспользоваться злоумышленники. Поэтому родителям следует внимательно читать обзоры игрушек, обновлять умные устройства до последних версий и внимательно следить за играми своих детей».
Ссылка на источник
Комментарий (0)