この脆弱性により、ハッカーはロボットシステムを制御し、保護者の同意なしに子供とビデオチャットできるようになります。それだけでなく、このロボット システムの適用に伴うリスクは、名前、性別、年齢、さらには地理的位置を含む子供の個人情報が盗まれるなど、他の危険も引き起こします。
スマート玩具がハッカーの標的になる可能性
これは、Android オペレーティングシステムで動作し、カメラとマイクを備えた子供用のおもちゃのロボットです。人工知能を利用して認識し、子供の名前を呼び、子供の気分に基づいて自動的に応答を調整し、しばらくするとロボットが子供に慣れます。ロボットの機能を最大限に活用するには、保護者がモバイル デバイスに制御アプリケーションをダウンロードする必要があります。このアプリにより、親は子供の学習の進捗状況を監視でき、ロボットを通じて子供とビデオ通話もできる。
セットアップ段階では、保護者はロボットを Wi-Fi 経由でモバイル デバイスに接続するように指示され、その後、子供の名前と年齢をデバイスに入力します。しかし、カスペルスキーの専門家は、懸念すべきセキュリティ上の問題を発見しました。子供の情報を要求するアプリケーション プログラミング インターフェイスに認証が欠けているのです。これは、ユーザーのネットワーク リソースへのアクセスを誰が許可されているかを確認するための重要なチェックです。
これにより、サイバー犯罪者がネットワークアクセスの頻度を傍受して分析することで、子供の名前、年齢、性別、居住国、さらには IP アドレスを含む幅広いデータを傍受して盗むリスクが生じます。
この脆弱性により、攻撃者は親のアカウントからの同意を完全に回避して、子供とのライブビデオ通話を開始できるようになります。子供が電話に出ると、攻撃者は親の許可なく子供と秘密を交換できるようになります。この場合、加害者は子供を操ったり、家から誘い出したり、危険な行動をとるように指示したりする可能性があります。
さらに、親のモバイルデバイス内のアプリケーションのセキュリティ上の問題により、攻撃者がロボットをリモート制御し、ネットワークに不正にアクセスする可能性があります。ブルートフォース方式を使用して OTP パスワードを回復し、ログイン試行の失敗回数に制限がない機能を使用することで、攻撃者はロボットをリモートで自分のアカウントにリンクし、所有者によるデバイスの制御を無効にすることができます。
「スマート玩具を購入する際は、娯楽性や教育的価値だけでなく、安全性やセキュリティ機能も考慮することが重要です」と、カスペルスキー ICS CERT のシニア セキュリティ研究者、ニコライ フロロフは述べています。「一般的に、価格が高いほどセキュリティが優れていると考えられていますが、最も高価なスマート玩具であっても、攻撃者が悪用できる脆弱性から完全に免れるわけではないことに留意することが重要です。したがって、保護者は玩具のレビューを注意深く読み、スマート デバイスを最新バージョンに更新し、子供の遊びを注意深く監視する必要があります。」
[広告2]
ソースリンク
コメント (0)