พบช่องโหว่ด้านความปลอดภัยในของเล่นอัจฉริยะสำหรับเด็ก

ช่องโหว่นี้ทำให้แฮกเกอร์สามารถควบคุมระบบหุ่นยนต์เพื่อ วิดีโอ แชทกับเด็ก ๆ ได้โดยไม่ต้องได้รับความยินยอมจากผู้ปกครอง ไม่เพียงเท่านั้น ความเสี่ยงที่เกี่ยวข้องกับการใช้งานระบบหุ่นยนต์นี้ยังเปิดช่องให้เกิดอันตรายอื่น ๆ อีกด้วย เช่น ข้อมูลส่วนบุคคลของเด็ก ๆ เช่น ชื่อ เพศ อายุ และแม้แต่ตำแหน่งที่ตั้งทางภูมิศาสตร์อาจถูกขโมย

Phát hiện lỗ hổng bảo mật trong đồ chơi thông minh của trẻ nhỏ- Ảnh 1. — ของเล่นอัจฉริยะอาจกลายเป็นเป้าหมายของการโจมตีของแฮกเกอร์

นี่คือหุ่นยนต์ของเล่นเด็กที่ขับเคลื่อนด้วยระบบปฏิบัติการแอนดรอยด์ มาพร้อมกล้องและไมโครโฟน ใช้ปัญญาประดิษฐ์ในการจดจำและตั้งชื่อเด็ก ปรับการตอบสนองโดยอัตโนมัติตามอารมณ์ของเด็ก และเมื่อเวลาผ่านไป หุ่นยนต์จะรู้จักเด็กมากขึ้น เพื่อใช้ประโยชน์จากฟีเจอร์ต่างๆ ของหุ่นยนต์ได้อย่างเต็มที่ ผู้ปกครองจำเป็นต้องดาวน์โหลดแอปพลิเคชันควบคุมบนอุปกรณ์มือถือ แอปพลิเคชันนี้ช่วยให้ผู้ปกครองสามารถติดตามกระบวนการเรียนรู้ของบุตรหลาน และสามารถโทรวิดีโอคอลกับบุตรหลานผ่านหุ่นยนต์ได้

ในระหว่างขั้นตอนการตั้งค่า ผู้ปกครองจะได้รับคำแนะนำให้เชื่อมต่อหุ่นยนต์กับอุปกรณ์มือถือผ่าน Wi-Fi หลังจากนั้นจึงระบุชื่อและอายุของเด็กลงในอุปกรณ์ อย่างไรก็ตาม ผู้เชี่ยวชาญของ Kaspersky ค้นพบปัญหาด้านความปลอดภัยที่น่ากังวล นั่นคือ Application Programming Interface (API) ที่ร้องขอข้อมูลเด็กขาดคุณสมบัติการตรวจสอบสิทธิ์ แม้ว่าการตรวจสอบนี้จะเป็นขั้นตอนสำคัญเพื่อยืนยันว่าใครได้รับอนุญาตให้เข้าถึงทรัพยากรเครือข่ายของผู้ใช้

สิ่งนี้ก่อให้เกิดความเสี่ยงที่ผู้ก่ออาชญากรรมทางไซเบอร์จะสามารถดักจับและขโมยข้อมูลได้หลากหลายประเภท รวมถึงชื่อของเด็ก อายุ เพศ ประเทศที่อยู่อาศัย และแม้กระทั่งที่อยู่ IP โดยการดักจับและวิเคราะห์ความถี่ในการเข้าถึงเครือข่าย

ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเริ่มการสนทนาทางวิดีโอสดกับเด็กได้ โดยหลีกเลี่ยงการยินยอมจากบัญชีผู้ปกครองโดยสิ้นเชิง หากเด็กรับสาย ผู้โจมตีสามารถแลกเปลี่ยนข้อมูลกับเด็กอย่างลับๆ โดยไม่ได้รับอนุญาตจากผู้ปกครอง ในกรณีนี้ ผู้โจมตี สามารถบงการ เด็ก ล่อลวงเด็กออกจากบ้าน หรือชักจูงเด็กให้กระทำการอันเป็นอันตรายได้

ยิ่งไปกว่านั้น ปัญหาด้านความปลอดภัยของแอปบนอุปกรณ์มือถือของผู้ปกครองอาจทำให้ผู้โจมตีสามารถควบคุมหุ่นยนต์จากระยะไกลและเข้าถึงเครือข่ายโดยไม่ได้รับอนุญาตได้ ด้วยการใช้วิธีการบรูทฟอร์ซเพื่อกู้คืนรหัสผ่าน OTP และฟีเจอร์การเข้าสู่ระบบล้มเหลวแบบไม่จำกัดจำนวนครั้ง ผู้โจมตีสามารถเชื่อมโยงหุ่นยนต์เข้ากับบัญชีของตนเองจากระยะไกล ส่งผลให้เจ้าของไม่สามารถควบคุมอุปกรณ์ได้

นิโคไล โฟรลอฟ นักวิจัยด้านความปลอดภัยอาวุโสของ Kaspersky ICS CERT ให้ความเห็นว่า "เมื่อซื้อของเล่นอัจฉริยะ สิ่งสำคัญคือต้องพิจารณาไม่เพียงแต่ความบันเทิงและคุณค่า ทางการศึกษา เท่านั้น แต่ยังรวมถึงคุณสมบัติด้านความปลอดภัยและความมั่นคงด้วย แม้ว่าโดยทั่วไปแล้วจะมีความเข้าใจว่าราคาที่สูงขึ้นหมายถึงความปลอดภัยที่ดีขึ้น แต่สิ่งสำคัญคือต้องตระหนักว่าแม้แต่ของเล่นอัจฉริยะที่มีราคาแพงที่สุดก็ยังไม่ปลอดภัยจากช่องโหว่ที่ผู้โจมตีสามารถใช้ประโยชน์ได้ ดังนั้น ผู้ปกครองควรอ่านรีวิวของเล่นอย่างละเอียด อัปเดตอุปกรณ์อัจฉริยะให้เป็นเวอร์ชันล่าสุดอยู่เสมอ และติดตามกิจกรรมการเล่นของลูกๆ อย่างใกล้ชิด"

ลิงค์ที่มา