Există trei reguli importante pe care proprietarii de jucării interactive trebuie să le respecte.
Kaspersky Lab a descoperit o vulnerabilitate într-o jucărie inteligentă populară pentru copii. Studiul a fost prezentat la MWC 2024, potrivit serviciului de presă al companiei.
Laboratorul a refuzat să dezvăluie modelul specific de jucărie pentru a proteja identitatea producătorului. Experții au descris jucăria ca fiind un dispozitiv interactiv bazat pe Android, cu ecran, microfon, cameră și roți pentru mișcare. Robotul putea juca jocuri educative, putea interacționa cu copilul și putea comunica cu părinții prin videoconferință.
S-a dovedit că, înainte de a utiliza jucăria pentru prima dată, părinții au fost nevoiți să conecteze robotul la un smartphone prin intermediul unei aplicații speciale. La pornirea acestuia, jucăria cerea să selecteze Wi-Fi, să asocieze robotul cu telefonul adultului și să introducă numele și vârsta copilului. Aici au început problemele.
Ce probleme au descoperit specialiștii?
În primul rând , informațiile despre adresa de e-mail a părintelui și numele copilului au fost transmise către serverele producătorului folosind protocolul HTTP învechit (fără criptare). Dacă producătorul ar fi folosit protocolul HTTPS, scurgerile de informații ar fi putut fi evitate.
În al doilea rând , jucăria nu avea o securitate fiabilă pentru a preveni scurgerea datelor utilizatorilor. Chiar și un escroc mai puțin profesionist se putea conecta cu ușurință la bot de la distanță și afla totul despre proprietar: adresa IP a copilului, țara de reședință, numele, sexul și vârsta. Escrocii puteau obține, de asemenea, numărul de telefon și adresa de e-mail a părintelui.
În al treilea rând , jucăria nu accepta criptare end-to-end în timpul apelurilor video. Nu exista nimic care să împiedice escrocii să folosească camera și microfonul robotului pentru a apela copiii. Dacă un copil accepta apelul, atacatorul putea începe să comunice cu minorul din motive ascunse.
În al patrulea rând , jocul nu avea protecție împotriva piratării parolelor - escrocii puteau pirata contul unui părinte folosind un simplu atac de forță brută.
Atunci când achiziționați dispozitive inteligente, este important să luați în considerare nu doar funcțiile lor de divertisment și educație, ci și nivelul lor de securitate. Nu vă bazați exclusiv pe preț - chiar și cele mai scumpe dispozitive inteligente pot avea vulnerabilități care pot fi exploatate de atacatori.
Nikolay Frolov,
Cercetător Senior, Kaspersky ICS CERT
Ce este important să știe părinții:
- Cumpără jucării inteligente de la mărci celebre și mari;
- Actualizați periodic software-ul jucăriei și aplicația mobilă proprietară a acesteia;
- Restricționați accesul la setări inutile pentru aplicațiile jucăriilor inteligente.
La rândul lor, producătorii de astfel de jucării trebuie să testeze temeinic securitatea produselor și a infrastructurii lor și să informeze în mod responsabil consumatorii cu privire la potențialele amenințări.
Anterior, în Rusia, a fost raportată o schemă frauduloasă care implica actualizări ale aplicațiilor mobile bancare.