Ця вразливість дозволяє хакерам керувати робототехнічною системою для відеочату з дітьми без згоди батьків. Крім того, ризики, пов'язані з використанням цієї робототехнічної системи, також створюють інші небезпеки, такі як викрадення особистої інформації дітей, включаючи ім'я, стать, вік і навіть географічне розташування.
Розумні іграшки можуть стати мішенями для хакерських атак
Це дитячий іграшковий робот на базі Android, оснащений камерою та мікрофоном, який використовує штучний інтелект для розпізнавання та називання дітей, автоматичного коригування відповідей залежно від настрою дитини, і з часом робот пізнає дитину. Щоб повною мірою скористатися функціями робота, батькам потрібно завантажити додаток керування на свої мобільні пристрої. Цей додаток дозволяє батькам стежити за процесом навчання своєї дитини та навіть здійснювати відеодзвінки з дитиною через робота.
Під час налаштування батькам доручають підключити робота до свого мобільного пристрою через Wi-Fi, після чого вони надають пристрою ім'я та вік дитини. Однак експерти Kaspersky виявили тривожну проблему безпеки: інтерфейс прикладного програмування (API), який запитує інформацію про дитину, не має функції автентифікації, хоча це важлива перевірка для підтвердження того, хто має доступ до мережевих ресурсів користувача.
Це створює ризик того, що кіберзлочинці можуть перехоплювати та красти широкий спектр даних, включаючи імена дітей, вік, стать, країни проживання та навіть IP-адреси, шляхом перехоплення та аналізу частоти їхнього доступу до мережі.
Ця вразливість дозволяє зловмиснику ініціювати відеодзвінок з дитиною в реальному часі, повністю обходячи згоду батьківського облікового запису. Якщо дитина приймає дзвінок, зловмисник може таємно обмінюватися інформацією з дитиною без дозволу батьків. У цьому випадку зловмисник може маніпулювати дитиною, виманювати її з дому або спонукати дитину до виконання небезпечних дій.
Крім того, проблеми безпеки з додатком на мобільному пристрої батьків можуть дозволити зловмиснику дистанційно керувати роботом та отримати несанкціонований доступ до мережі. Використовуючи методи перебору для відновлення пароля OTP та функцію необмеженої кількості невдалих спроб входу, зловмисник може дистанційно прив’язати робота до свого облікового запису, тим самим позбавивши власника контролю над пристроєм.
Микола Фролов, старший дослідник безпеки Kaspersky ICS CERT, прокоментував: «Купуючи розумні іграшки, важливо враховувати не лише їхню розважальну та освітню цінність, але й їхні функції безпеки. Хоча існує загальна думка, що вищі ціни означають кращу безпеку, важливо зазначити, що навіть найдорожчі розумні іграшки не повністю застраховані від вразливостей, якими можуть скористатися зловмисники. Тому батькам слід уважно читати відгуки про іграшки, завжди оновлювати розумні пристрої до останніх версій та уважно стежити за ігровою діяльністю своїх дітей».
Посилання на джерело
Коментар (0)