Esta vulnerabilidad permite a los piratas informáticos controlar el sistema del robot para realizar videollamadas con niños sin el consentimiento de los padres. Pero no solo eso, los riesgos asociados a la aplicación de este sistema robótico también conllevan otros peligros, como el robo de información personal de los niños, incluidos su nombre, género, edad e incluso ubicación geográfica.
Los juguetes inteligentes podrían convertirse en objetivos de los piratas informáticos
Este es un robot de juguete para niños que funciona con el sistema operativo Android, equipado con cámara y micrófono, que utiliza inteligencia artificial para reconocer, llamar a los niños por su nombre, ajustar automáticamente las respuestas según el estado de ánimo del niño y, después de un tiempo, el robot se acostumbrará al niño. Para aprovechar al máximo las funciones del robot, los padres deben descargar la aplicación de control en sus dispositivos móviles. La aplicación permite a los padres monitorear el progreso de aprendizaje de sus hijos e incluso realizar videollamadas con ellos a través del robot.
Durante la fase de configuración, se indica a los padres que conecten el robot a su dispositivo móvil a través de Wi-Fi, después de lo cual proporcionarán el nombre y la edad del niño al dispositivo. Sin embargo, los expertos de Kaspersky descubrieron un problema de seguridad preocupante: la interfaz de programación de aplicaciones que solicita información del niño carece de autenticación, mientras que esta es una comprobación importante para confirmar quién tiene permiso para acceder a los recursos de red del usuario.
Esto supone el riesgo de que los ciberdelincuentes puedan interceptar y robar una amplia gama de datos, incluido el nombre, la edad, el sexo, el país de residencia e incluso la dirección IP de un niño, interceptando y analizando la frecuencia de acceso a la red.
Esta vulnerabilidad permite a los atacantes iniciar videollamadas en vivo con niños, eludiendo por completo el consentimiento de la cuenta de los padres. Si el niño acepta la llamada, el atacante puede intercambiar secretos con el niño sin el permiso de los padres. En este caso, el atacante puede manipular al niño, alejarlo de su hogar o instruirlo para que adopte un comportamiento peligroso.
Además, los problemas de seguridad de la aplicación en el dispositivo móvil de los padres podrían permitir a los atacantes controlar remotamente el robot y obtener acceso no autorizado a la red. Al utilizar métodos de fuerza bruta para recuperar contraseñas OTP y la función de número ilimitado de intentos fallidos de inicio de sesión, los atacantes pueden vincular de forma remota el robot a su propia cuenta, deshabilitando así el control del propietario del dispositivo.
“A la hora de comprar juguetes inteligentes, es importante tener en cuenta no solo su valor educativo y de entretenimiento, sino también sus características de seguridad”, afirma Nikolay Frolov, investigador sénior de seguridad de Kaspersky ICS CERT. “Si bien existe la percepción general de que los precios más altos significan una mayor seguridad, es importante tener en cuenta que incluso los juguetes inteligentes más caros no son completamente inmunes a las vulnerabilidades que los atacantes pueden explotar. Por lo tanto, los padres deben leer atentamente las reseñas de los juguetes, mantener los dispositivos inteligentes actualizados con las últimas versiones y supervisar de cerca las actividades de juego de sus hijos”.
Enlace de origen
Kommentar (0)