Vulnerabilitățile jucăriilor inteligente ar putea permite infractorilor cibernetici să converseze video cu copiii – studiu

Un robot bazat pe Android, conceput pentru copii, este echipat cu o cameră video și microfon încorporate. Acesta valorifică inteligența artificială pentru a recunoaște și a interacționa cu copiii după nume și pentru a-și ajusta răspunsurile în funcție de starea de spirit a copilului, familiarizându-se treptat cu ei. Pentru a debloca întregul potențial al jucăriei, părinților li se cere să descarce aplicația pe dispozitivul lor mobil. Prin această aplicație, părinții pot urmări progresul copilului în activitățile lor de învățare și chiar pot iniția un apel video cu copilul, prin intermediul robotului.

În timpul configurării inițiale, părinții sunt instruiți să conecteze jucăria la o rețea Wi-Fi, să o conecteze la dispozitivul lor mobil, apoi să furnizeze numele și vârsta copilului. În această fază, experții Kaspersky au descoperit o problemă de securitate: API-ul (Application Programming Interface) responsabil pentru solicitarea acestor informații nu are protecție prin autentificare, un pas care confirmă cine poate accesa resursele rețelei tale. Acest lucru le permite infractorilor cibernetici să intercepteze și să acceseze diferite tipuri de date – inclusiv numele copilului, vârsta, sexul, țara de reședință și chiar adresa sa IP – prin interceptarea și analizarea traficului din rețea. În plus, această deficiență le permite infractorilor cibernetici să exploateze camera și microfonul robotului, inițiind apeluri directe către utilizatorii electronici, ocolind autorizarea necesară din conturile adulților responsabili. Dacă un copil acceptă acest apel, un atacator poate vorbi cu el pe ascuns, fără acordul părinților. În astfel de cazuri, atacatorul poate manipula utilizatorul, invitându-l afară din casă sau influențându-l să se implice în comportamente riscante.

În plus, problemele de securitate ale aplicației mobile a părintelui pot permite unui atacator să preia controlul de la distanță asupra robotului și să obțină acces neautorizat la rețea. Folosind metode brute-force pentru a recupera parola unică de șase cifre (OTP) și fără restricții la numărul de încercările eșuate, un atacator ar putea conecta robotul de la distanță la propriul său cont, scoțând efectiv dispozitivul de sub controlul proprietarului său.

Echipa Kaspersky a raportat vânzătorului toate vulnerabilitățile descoperite, iar acesta le-a corectat prompt.

Pentru a menține toate dispozitivele inteligente în siguranță și protejate, experții Kaspersky au următoarele sfaturi:

• Țineți-vă dispozitivele la zi: actualizați în mod regulat firmware-ul și software-ul tuturor dispozitivelor conectate, inclusiv jucăriile inteligente. Aceste actualizări conțin adesea patch-uri de securitate esențiale care abordează vulnerabilitățile cunoscute.
• Informați-vă înainte de a cumpăra: înainte de a cumpăra o jucărie inteligentă sau orice dispozitiv conectat, cercetați reputația producătorului în materie de securitate și confidențialitate. Alegeți dispozitive de la mărci de renume, care acordă prioritate securității și oferă actualizări regulate.
• Fiți precaut cu permisiunile solicitate de aplicații: examinați și limitați permisiunile acordate aplicațiilor mobile asociate cu dispozitivul dumneavoastră inteligent. Oferiți doar accesul necesar la funcții și date și evitați acordarea de privilegii excesive.
• Opriți-l când nu este utilizat: opriți jucăria inteligentă când nu este utilizată, pentru a preveni colectarea datelor. Dacă dispozitivul are microfon, depozitați-l într-un loc greu accesibil atunci când nu este activ și acoperiți sau redirecționați camerele atunci când nu sunt utilizate.
• Utilizați soluții de securitate fiabile: utilizați o soluție de securitate de încredere pentru a vă asigura și proteja întregul ecosistem smart home.