Un robot bazat pe Android, conceput pentru copii, este echipat cu o cameră video și microfon încorporate. Acesta valorifică inteligența artificială pentru a recunoaște și a interacționa cu copiii după nume și pentru a-și ajusta răspunsurile în funcție de starea de spirit a copilului, familiarizându-se treptat cu ei. Pentru a debloca întregul potențial al jucăriei, părinților li se cere să descarce aplicația pe dispozitivul lor mobil. Prin această aplicație, părinții pot urmări progresul copilului în activitățile lor de învățare și chiar pot iniția un apel video cu copilul, prin intermediul robotului.
În timpul configurării inițiale, părinții sunt instruiți să conecteze jucăria la o rețea Wi-Fi, să o conecteze la dispozitivul lor mobil, apoi să furnizeze numele și vârsta copilului. În această fază, experții Kaspersky au descoperit o problemă de securitate: API-ul (Application Programming Interface) responsabil pentru solicitarea acestor informații nu are protecție prin autentificare, un pas care confirmă cine poate accesa resursele rețelei tale. Acest lucru le permite infractorilor cibernetici să intercepteze și să acceseze diferite tipuri de date – inclusiv numele copilului, vârsta, sexul, țara de reședință și chiar adresa sa IP – prin interceptarea și analizarea traficului din rețea. În plus, această deficiență le permite infractorilor cibernetici să exploateze camera și microfonul robotului, inițiind apeluri directe către utilizatorii electronici, ocolind autorizarea necesară din conturile adulților responsabili. Dacă un copil acceptă acest apel, un atacator poate vorbi cu el pe ascuns, fără acordul părinților. În astfel de cazuri, atacatorul poate manipula utilizatorul, invitându-l afară din casă sau influențându-l să se implice în comportamente riscante.
În plus, problemele de securitate ale aplicației mobile a părintelui pot permite unui atacator să preia controlul de la distanță asupra robotului și să obțină acces neautorizat la rețea. Folosind metode brute-force pentru a recupera parola unică de șase cifre (OTP) și fără restricții la numărul de încercările eșuate, un atacator ar putea conecta robotul de la distanță la propriul său cont, scoțând efectiv dispozitivul de sub controlul proprietarului său.
Echipa Kaspersky a raportat vânzătorului toate vulnerabilitățile descoperite, iar acesta le-a corectat prompt.
Pentru a menține toate dispozitivele inteligente în siguranță și protejate, experții Kaspersky au următoarele sfaturi: