Esta vulnerabilidad permite a los piratas informáticos controlar el sistema del robot para realizar videollamadas con niños sin el consentimiento de los padres. Sin detenerse allí, los riesgos asociados con la aplicación de este sistema robótico también abren otros peligros, como el robo de información personal de los niños, incluidos su nombre, género, edad e incluso ubicación geográfica.

Este es un robot de juguete para niños que funciona con el sistema operativo Android, equipado con cámara y micrófono, que utiliza inteligencia artificial para reconocer, llamar a los niños por su nombre, ajustar automáticamente las respuestas según el estado de ánimo del niño y, después de un tiempo, el robot se acostumbrará al niño. Para aprovechar al máximo las funciones del robot, los padres deben descargar la aplicación de control en sus dispositivos móviles. La aplicación permite a los padres monitorear el progreso de aprendizaje de sus hijos e incluso realizar videollamadas con ellos a través del robot.

Durante la fase de configuración, se indica a los padres que conecten el robot a su dispositivo móvil a través de Wi-Fi, después de lo cual proporcionarán el nombre y la edad del niño al dispositivo. Sin embargo, los expertos de Kaspersky descubrieron un problema de seguridad preocupante: la interfaz de programación de aplicaciones que solicita información del niño carece de autenticación, cuando esta es una comprobación importante para confirmar quién tiene permiso para acceder a los recursos de red del usuario.

Esto supone el riesgo de que los ciberdelincuentes puedan interceptar y robar una amplia gama de datos, incluido el nombre, la edad, el sexo, el país de residencia e incluso la dirección IP de un niño, interceptando y analizando la frecuencia de acceso a la red.

Esta vulnerabilidad permite a los atacantes iniciar videollamadas en vivo con niños, eludiendo por completo el consentimiento de la cuenta de los padres. Si el niño acepta la llamada, el atacante puede intercambiar secretos con el niño sin el permiso de los padres. En este caso, el atacante puede manipular al niño, alejarlo del hogar o instruirlo para que adopte un comportamiento peligroso.

Además, los problemas de seguridad de la aplicación en el dispositivo móvil de los padres podrían permitir a los atacantes controlar remotamente el robot y obtener acceso no autorizado a la red. Al utilizar métodos de fuerza bruta para recuperar contraseñas OTP y la función de número ilimitado de intentos fallidos de inicio de sesión, los atacantes pueden vincular de forma remota el robot a su propia cuenta, deshabilitando así el control del propietario del dispositivo.

“Al comprar juguetes inteligentes, es importante tener en cuenta no solo su valor de entretenimiento y educativo, sino también sus características de seguridad”, afirmó Nikolay Frolov, investigador sénior de seguridad en Kaspersky ICS CERT. Si bien existe la percepción general de que un precio más alto implica mayor seguridad, es importante tener en cuenta que incluso los juguetes inteligentes más caros no son completamente inmunes a las vulnerabilidades que los atacantes pueden explotar. Por lo tanto, los padres deben leer atentamente las reseñas de los juguetes, mantener los dispositivos inteligentes actualizados con las últimas versiones y supervisar de cerca las actividades de juego de sus hijos.