Çocukların akıllı oyuncaklarında güvenlik açıkları keşfedildi

Bu güvenlik açığı, bilgisayar korsanlarının robot sistemini kontrol ederek ebeveyn izni olmadan çocuklarla görüntülü sohbet etmelerine olanak tanıyor. Üstelik, bu robot sisteminin uygulanmasıyla ilişkili riskler, çocukların isim, cinsiyet, yaş ve hatta coğrafi konum gibi kişisel bilgilerinin çalınması gibi başka tehlikeleri de beraberinde getiriyor.

Bu, kamera ve mikrofonla donatılmış, yapay zeka kullanarak çocukları tanıyıp isimlendiren, çocuğun ruh haline göre otomatik olarak tepki veren ve zamanla çocuğu tanıyan Android işletim sistemli bir çocuk oyuncak robotudur. Robotun özelliklerinden tam olarak yararlanmak için ebeveynlerin mobil cihazlarına bir kontrol uygulaması indirmeleri gerekmektedir. Bu uygulama, ebeveynlerin çocuklarının öğrenme sürecini izlemelerine ve hatta robot aracılığıyla çocuklarıyla görüntülü görüşme yapmalarına olanak tanır.

Kurulum aşamasında, ebeveynlere robotu Wi-Fi üzerinden mobil cihazlarına bağlamaları talimatı verilir ve ardından cihaza çocuğun adını ve yaşını girerler. Ancak Kaspersky uzmanları endişe verici bir güvenlik sorunu keşfetti: Çocuk bilgilerini isteyen Uygulama Programlama Arayüzü'nde (API), kullanıcının ağ kaynaklarına kimlerin erişebileceğini doğrulamak için önemli bir kontrol olmasına rağmen, kimlik doğrulama özelliği bulunmuyor.

Bu durum, siber suçluların çocukların isimleri, yaşları, cinsiyetleri, ikamet ettikleri ülkeler ve hatta IP adresleri de dahil olmak üzere çok çeşitli verileri, ağ erişim sıklıklarını yakalayıp analiz ederek ele geçirip çalabilmeleri riskini doğuruyor.

Bu güvenlik açığı, saldırganın ebeveyn hesabının onayını tamamen atlayarak bir çocukla canlı görüntülü görüşme başlatmasına olanak tanır. Çocuk görüşmeyi kabul ederse, saldırgan ebeveynin izni olmadan çocukla gizlice bilgi alışverişinde bulunabilir. Bu durumda, saldırgan çocuğu manipüle edebilir , evden çıkarabilir veya tehlikeli eylemlerde bulunması için yönlendirebilir.

Ayrıca, ebeveynin mobil cihazındaki uygulamada bulunan güvenlik sorunları, bir saldırganın robotu uzaktan kontrol etmesine ve ağa yetkisiz erişim sağlamasına olanak tanıyabilir. Saldırgan, OTP şifresini ve sınırsız sayıda başarısız giriş denemesi özelliğini ele geçirmek için kaba kuvvet yöntemlerini kullanarak robotu uzaktan kendi hesabına bağlayabilir ve böylece sahibinin cihaz üzerindeki kontrolünü devre dışı bırakabilir.

Kaspersky ICS CERT'te kıdemli güvenlik araştırmacısı Nikolay Frolov, "Akıllı oyuncak satın alırken, yalnızca eğlence ve eğitim değerlerini değil, aynı zamanda güvenlik özelliklerini de göz önünde bulundurmak önemlidir. Daha yüksek fiyatların daha iyi güvenlik anlamına geldiği genel bir algı olsa da, en pahalı akıllı oyuncakların bile saldırganların yararlanabileceği güvenlik açıklarına karşı tamamen bağışık olmadığını unutmamak önemlidir. Bu nedenle, ebeveynler oyuncak incelemelerini dikkatlice okumalı, akıllı cihazlarını her zaman en son sürümlere güncellemeli ve çocuklarının oyun aktivitelerini yakından takip etmelidir." dedi.