この脆弱性により、ハッカーはロボットシステムを制御して、保護者の同意なしに子供とビデオチャットできるようになります。それだけでなく、このロボット システムの適用に関連するリスクは、名前、性別、年齢、さらには地理的位置を含む子供の個人情報が盗まれるなど、他の危険も引き起こします。

これは、Android オペレーティングシステムで実行され、カメラとマイクを備えた子供用のおもちゃのロボットです。人工知能を利用して認識し、子供の名前を呼び、子供の気分に基づいて自動的に応答を調整し、しばらくするとロボットが子供に慣れます。ロボットの機能を最大限に活用するには、保護者がモバイル デバイスに制御アプリケーションをダウンロードする必要があります。このアプリを使えば、保護者は子供の学習の進捗状況を監視できるほか、ロボットを通じて子供とビデオ通話もできる。

セットアップ段階では、保護者はロボットを Wi-Fi 経由でモバイル デバイスに接続するように指示され、その後、デバイスに子供の名前と年齢を入力します。しかし、カスペルスキーの専門家は、懸念すべきセキュリティ上の問題を発見しました。子供の情報を要求するアプリケーション プログラミング インターフェースに認証が欠けているのです。これは、ユーザーのネットワーク リソースへのアクセスを誰が許可されているかを確認するための重要なチェックです。

これにより、サイバー犯罪者がネットワークアクセスの頻度を傍受して分析することで、子供の名前、年齢、性別、居住国、さらには IP アドレスを含む幅広いデータを傍受して盗むリスクが生じます。

この脆弱性により、攻撃者は親のアカウントからの同意を完全に回避して、子供とのライブビデオ通話を開始できるようになります。子供が電話に出ると、攻撃者は親の許可なく子供と秘密を交換できるようになります。この場合、加害者は子供を操ったり、家から誘い出したり、危険な行動をとるように指示したりする可能性があります。

さらに、親のモバイルデバイス内のアプリケーションのセキュリティ上の問題により、攻撃者がロボットをリモート制御し、ネットワークに不正にアクセスする可能性があります。ブルートフォース方式を使用して OTP パスワードを回復し、ログイン試行の失敗回数に制限がない機能を使用することで、攻撃者はロボットをリモートで自分のアカウントにリンクし、所有者によるデバイスの制御を無効にすることができます。

「スマート玩具を購入する際には、娯楽性や教育的価値だけでなく、安全性やセキュリティ機能も考慮することが重要だ」と、カスペルスキーICS CERTのシニアセキュリティ研究者、ニコライ・フロロフ氏は語る。価格が高いほどセキュリティが優れているという一般的な認識がありますが、最も高価なスマート玩具であっても、攻撃者が悪用できる脆弱性から完全に免れるわけではないことに注意することが重要です。そのため、保護者は玩具のレビューを注意深く読み、スマートデバイスを常に最新バージョンに更新し、お子様の遊びを注意深く監視する必要があります。