Исследователи «Лаборатории Касперского» обнаружили в детском интерактивном роботе уязвимости, которые потенциально могли позволить злоумышленникам использовать камеру в игрушке для общения с ребёнком без ведома родителей, сообщает компания в среду.
Эксперты ЛК уведомили производителя, который к настоящему моменту устранил описанные проблемы безопасности.
Игрушечный робот, начинку которого проанализировали специалисты «Лаборатории Касперского», — это интерактивное устройство на Android, оснащённое большим цветным экраном, микрофоном, видеокамерой. Игрушка может передвигаться — это «планшет на колёсах». Функциональность робота включает игровые и обучающие приложения для детей, голосового ассистента, возможность выхода в Интернет и связи с родителями через приложение на их смартфонах.
Перед началом использования робота его необходимо связать с аккаунтом взрослых. Для этого пользователь должен установить на своём мобильном устройстве специальное приложение. При первом включении игрушка просит выбрать сеть Wi-Fi, привязать робота к мобильному устройству родителя и ввести имя и возраст ребёнка.
Какие уязвимости были найдены
Первый серьёзный недостаток с точки зрения кибербезопасности заключался в том, что информация о ребёнке передавалась по незащищённому протоколу HTTP. Таким образом, теоретически злоумышленники могли бы перехватить её, используя программное обеспечение для анализа сетевого трафика. После обновления прошивки робот перешёл на HTTPS.
Также были обнаружены проблемы с сетевыми запросами, из-за которых злоумышленники потенциально могли получить информацию о владельце игрушки, в том числе IP-адрес, страну проживания, имя, пол и возраст ребёнка, а также адрес электронной почты, номер телефона взрослого и код для привязки его мобильного устройства к роботу.
При установке сеанса видеосвязи отсутствовали должные проверки безопасности. Злоумышленники потенциально могли бы использовать камеру и микрофон робота для звонков детям без авторизации.
Дополнительно, используя метод грубой силы для перебора шестизначных паролей доступа к игрушке без ограничений на количество неудачных попыток, злоумышленник потенциально мог удалённо привязать робота к своей учётной записи вместо родительского аккаунта.
Напомним, ранее в феврале комитет Европарламента по внутреннему рынку и защите потребителей одобрил положения нового законопроекта о безопасности игрушек, включая те, что имеют выход в Интернет.
См. также: Ради безопасности детей в ЕС предложено ввести цифровые паспорта игрушек >>>