Cette vulnérabilité permet aux pirates de contrôler le système robotique pour discuter par vidéo avec des enfants sans le consentement des parents. Mais ce n’est pas tout : les risques associés à l’application de ce système robotique ouvrent également la voie à d’autres dangers, comme le vol des informations personnelles des enfants, notamment leur nom, leur sexe, leur âge et même leur localisation géographique.
Les jouets intelligents pourraient devenir la cible des pirates informatiques
Il s'agit d'un robot jouet pour enfants qui fonctionne sur le système d'exploitation Android, équipé d'une caméra et d'un microphone, utilisant l'intelligence artificielle pour reconnaître, appeler les enfants par leur nom, ajuster automatiquement les réponses en fonction de l'humeur de l'enfant, et après un certain temps, le robot s'habituera à l'enfant. Pour exploiter pleinement les fonctionnalités du robot, les parents doivent télécharger l'application de contrôle sur leurs appareils mobiles. L'application permet aux parents de suivre les progrès d'apprentissage de leur enfant et même de passer des appels vidéo avec eux via le robot.
Lors de la phase de configuration, les parents sont invités à connecter le robot à leur appareil mobile via Wi-Fi, après quoi ils fourniront le nom et l'âge de l'enfant à l'appareil. Cependant, les experts de Kaspersky ont découvert un problème de sécurité inquiétant : l'interface de programmation d'application qui demande des informations sur les enfants manque d'authentification, alors qu'il s'agit d'un contrôle important pour confirmer qui est autorisé à accéder aux ressources réseau de l'utilisateur.
Cela présente un risque que les cybercriminels puissent intercepter et voler un large éventail de données, notamment le nom, l’âge, le sexe, le pays de résidence et même l’adresse IP d’un enfant, en interceptant et en analysant la fréquence d’accès au réseau.
Cette vulnérabilité permet aux attaquants de lancer des appels vidéo en direct avec des enfants, contournant complètement le consentement du compte des parents. Si l’enfant accepte l’appel, l’attaquant peut échanger des secrets avec l’enfant sans l’autorisation des parents. Dans ce cas, l’agresseur peut manipuler l’enfant, l’attirer loin de chez lui ou lui demander d’adopter un comportement dangereux.
De plus, les problèmes de sécurité de l'application sur l'appareil mobile du parent pourraient permettre aux attaquants de contrôler à distance le robot et d'obtenir un accès non autorisé au réseau. En utilisant des méthodes de force brute pour récupérer les mots de passe OTP et la fonctionnalité de nombre illimité de tentatives de connexion infructueuses, les attaquants peuvent lier à distance le robot à leur propre compte, désactivant ainsi le contrôle de l'appareil par le propriétaire.
« Lors de l’achat de jouets intelligents, il est important de prendre en compte non seulement leur valeur ludique et éducative, mais aussi leurs caractéristiques de sécurité », a déclaré Nikolay Frolov, chercheur senior en sécurité chez Kaspersky ICS CERT. « Bien que l’on ait généralement l’impression que des prix plus élevés sont synonymes d’une meilleure sécurité, il est important de noter que même les jouets intelligents les plus chers ne sont pas complètement à l’abri des vulnérabilités que les attaquants peuvent exploiter. Par conséquent, les parents doivent lire attentivement les évaluations des jouets, mettre à jour les appareils intelligents avec les dernières versions et surveiller de près les activités ludiques de leurs enfants. »
Lien source
Comment (0)