Vulnerabilitatea unui robot inteligent de jucărie popular ar putea face copiii ţinte potenţiale pentru infractorii cibernetici, au descoperit cercetătorii Kaspersky. Punctele slabe le-ar putea permite hackerilor să preia controlul asupra sistemului jucăriei şi să-l folosească greşit pentru a comunica în secret cu copiii, prin chat video, fără acordul părinţilor. Riscurile asociate cu aplicaţia sistemului robot se extind la pericole precum compromiterea unor informaţii importante, cum ar fi numele utilizatorilor, sexele, vârstele şi chiar locaţiile acestora, conform unui comunicat de presă al companiei.
Un robot bazat pe Android, conceput pentru copii, este echipat cu o cameră video şi microfon încorporate. Acesta valorifică inteligenţa artificială pentru a recunoaşte şi a interacţiona cu copiii după nume şi pentru a-şi ajusta răspunsurile în funcţie de starea de spirit a copilului, familiarizându-se treptat cu ei. Pentru a debloca întregul potenţial al jucăriei, părinţilor li se cere să descarce aplicaţia pe dispozitivul lor mobil. Prin această aplicaţie, părinţii pot urmări progresul copilului în activităţile lor de învăţare şi chiar pot iniţia un apel video cu copilul, prin intermediul robotului.
În timpul configurării iniţiale, părinţii sunt instruiţi să conecteze jucăria la o reţea Wi-Fi, să o conecteze la dispozitivul lor mobil, apoi să furnizeze numele şi vârsta copilului. În această fază, experţii Kaspersky au descoperit o problemă de securitate: API-ul (Application Programming Interface) responsabil pentru solicitarea acestor informaţii nu are protecţie prin autentificare, un pas care confirmă cine poate accesa resursele reţelei tale. Acest lucru le permite infractorilor cibernetici să intercepteze şi să acceseze diferite tipuri de date - inclusiv numele copilului, vârsta, sexul, ţara de reşedinţă şi chiar adresa sa IP - prin interceptarea şi analizarea traficului din reţea. În plus, această deficienţă le permite infractorilor cibernetici să exploateze camera şi microfonul robotului, iniţiind apeluri directe către utilizatorii electronici, ocolind autorizarea necesară din conturile adulţilor responsabili. Dacă un copil acceptă acest apel, un atacator poate vorbi cu el pe ascuns, fără acordul părinţilor. În astfel de cazuri, atacatorul poate manipula utilizatorul, invitându-l afară din casă sau influenţându-l să se implice în comportamente riscante.
În plus, problemele de securitate ale aplicaţiei mobile a părintelui pot permite unui atacator să preia controlul de la distanţă asupra robotului şi să obţină acces neautorizat la reţea. Folosind metode brute-force pentru a recupera parola unică de şase cifre (OTP) şi fără restricţii la numărul de încercările eşuate, un atacator ar putea conecta robotul de la distanţă la propriul său cont, scoţând efectiv dispozitivul de sub controlul proprietarului său.
Echipa Kaspersky a raportat vânzătorului toate vulnerabilităţile descoperite, iar acesta le-a corectat prompt.
Pentru a menţine toate dispozitivele inteligente în siguranţă şi protejate, experţii Kaspersky au următoarele sfaturi:
Ţineţi-vă dispozitivele la zi: actualizaţi în mod regulat firmware-ul şi software-ul tuturor dispozitivelor conectate, inclusiv jucăriile inteligente. Aceste actualizări conţin adesea patch-uri de securitate esenţiale care abordează vulnerabilităţile cunoscute.
Informaţi-vă înainte de a cumpăra: înainte de a cumpăra o jucărie inteligentă sau orice dispozitiv conectat, cercetaţi reputaţia producătorului în materie de securitate şi confidenţialitate. Alegeţi dispozitive de la mărci de renume, care acordă prioritate securităţii şi oferă actualizări regulate.
Fiţi precaut cu permisiunile solicitate de aplicaţii: examinaţi şi limitaţi permisiunile acordate aplicaţiilor mobile asociate cu dispozitivul dumneavoastră inteligent. Oferiţi doar accesul necesar la funcţii şi date şi evitaţi acordarea de privilegii excesive.
Opriţi-l când nu este utilizat: opriţi jucăria inteligentă când nu este utilizată, pentru a preveni colectarea datelor. Dacă dispozitivul are microfon, depozitaţi-l într-un loc greu accesibil atunci când nu este activ şi acoperiţi sau redirecţionaţi camerele atunci când nu sunt utilizate.
Utilizaţi soluţii de securitate fiabile: utilizaţi o soluţie de securitate de încredere pentru a vă asigura şi proteja întregul ecosistem smart home.