Diese Sicherheitslücke ermöglicht es Hackern, das Robotersystem zu steuern, um ohne die Zustimmung der Eltern Videochats mit Kindern zu führen. Doch damit nicht genug: Der Einsatz dieser Robotersysteme birgt auch andere Gefahren: So können etwa persönliche Daten von Kindern wie Name, Geschlecht, Alter und sogar der geografische Standort gestohlen werden.
Smart Toys könnten zum Ziel von Hackern werden
Dies ist ein Spielzeugroboter für Kinder, der mit dem Android-Betriebssystem läuft, mit einer Kamera und einem Mikrofon ausgestattet ist und künstliche Intelligenz nutzt, um Kinder zu erkennen, sie beim Namen zu nennen und automatisch an die Stimmung des Kindes zu reagieren. Nach einer Weile gewöhnt sich der Roboter an das Kind. Um die Funktionen des Roboters voll nutzen zu können, müssen Eltern die Steuerungsanwendung auf ihre Mobilgeräte herunterladen. Mithilfe der App können Eltern die Lernfortschritte ihres Kindes überwachen und über den Roboter sogar Videoanrufe mit ihm tätigen.
Während der Einrichtungsphase werden die Eltern angewiesen, den Roboter über WLAN mit ihrem Mobilgerät zu verbinden und anschließend den Namen und das Alter des Kindes in das Gerät einzugeben. Allerdings entdeckten die Experten von Kaspersky ein besorgniserregendes Sicherheitsproblem: Der Anwendungsprogrammierschnittstelle, die Informationen über Kinder anfordert, fehlt die Authentifizierung. Dabei handelt es sich um eine wichtige Überprüfung, um zu bestätigen, wer auf die Netzwerkressourcen des Benutzers zugreifen darf.
Dadurch besteht das Risiko, dass Cyberkriminelle durch Abfangen und Analysieren der Häufigkeit der Netzwerkzugriffe zahlreiche Daten abfangen und stehlen können, darunter den Namen, das Alter, das Geschlecht, das Wohnsitzland und sogar die IP-Adresse eines Kindes.
Durch diese Sicherheitslücke können Angreifer Live-Videoanrufe mit Kindern initiieren und dabei die Zustimmung des Elternkontos vollständig umgehen. Nimmt das Kind den Anruf an, kann der Angreifer ohne die Erlaubnis der Eltern Geheimnisse mit dem Kind austauschen. In diesem Fall kann der Angreifer das Kind manipulieren, von zu Hause weglocken oder es zu gefährlichem Verhalten anleiten.
Darüber hinaus könnten Sicherheitsprobleme der Anwendung auf dem Mobilgerät der Eltern es Angreifern ermöglichen, den Roboter fernzusteuern und sich unbefugten Zugriff auf das Netzwerk zu verschaffen. Durch den Einsatz von Brute-Force-Methoden zum Wiederherstellen von OTP-Passwörtern und der Funktion zur unbegrenzten Anzahl fehlgeschlagener Anmeldeversuche können Angreifer den Roboter aus der Ferne mit ihrem eigenen Konto verknüpfen und so die Kontrolle des Besitzers über das Gerät deaktivieren.
„Beim Kauf von Smart Toys ist es wichtig, nicht nur auf den Unterhaltungs- und Lernwert zu achten, sondern auch auf die Sicherheitsfunktionen“, sagt Nikolay Frolov, leitender Sicherheitsforscher bei Kaspersky ICS CERT. „Obwohl allgemein angenommen wird, dass höhere Preise eine bessere Sicherheit bedeuten, ist es wichtig zu wissen, dass selbst die teuersten Smart Toys nicht völlig immun gegen Schwachstellen sind, die Angreifer ausnutzen können. Daher sollten Eltern Spielzeugbewertungen sorgfältig lesen, Smart-Geräte immer auf dem neuesten Stand halten und die Spielaktivitäten ihrer Kinder genau überwachen.“
[Anzeige_2]
Quellenlink
Kommentar (0)