이러한 취약점을 악용해 해커는 부모의 동의 없이 로봇 시스템을 제어해 어린이와 영상 채팅을 할 수 있습니다. 거기서 그치지 않고, 이 로봇 시스템을 적용하는 데 따른 위험은 이름, 성별, 나이, 심지어 지리적 위치 등 어린이의 개인 정보가 유출될 수 있는 등의 다른 위험도 야기합니다.
스마트 장난감이 해커의 표적이 될 수 있다
안드로이드 운영체제로 구동되고, 카메라와 마이크를 장착한 어린이용 장난감 로봇으로, 인공지능을 활용해 아이를 인식하고, 이름을 부르고, 아이의 기분에 따라 자동으로 반응을 조절하며, 시간이 지나면서 로봇은 아이에게 익숙해집니다. 로봇의 기능을 최대한 활용하려면 부모는 모바일 기기에 제어 앱을 다운로드해야 합니다. 이 앱을 이용하면 부모가 자녀의 학습 진행 상황을 모니터링할 수 있고, 로봇을 통해 자녀와 화상 통화도 할 수 있습니다.
설정 단계에서 부모는 Wi-Fi를 통해 로봇을 모바일 기기에 연결하라는 안내를 받은 후, 아이의 이름과 나이를 기기에 제공해야 합니다. 그러나 카스퍼스키 전문가들은 걱정스러운 보안 문제를 발견했습니다. 자녀 정보를 요청하는 애플리케이션 프로그래밍 인터페이스(API)에 인증이 부족했던 것입니다. 이는 사용자의 네트워크 리소스에 누가 접근할 수 있는지 확인하는 중요한 검사입니다.
사이버범죄자들은 네트워크 접속 빈도를 가로채서 분석함으로써 어린이의 이름, 나이, 성별, 거주 국가, 심지어 IP 주소 등 광범위한 데이터를 가로채서 훔칠 수 있는 위험이 있습니다.
이 취약점을 악용해 공격자는 부모 계정의 동의를 전혀 거치지 않고도 자녀와 실시간 영상 통화를 시작할 수 있습니다. 아이가 전화를 수락하면 공격자는 부모의 허락 없이 아이와 비밀을 교환할 수 있습니다. 이 경우 공격자는 아이를 조종하거나, 집에서 쫓아내거나, 아이에게 위험한 행동에 참여하도록 지시할 수도 있습니다.
더욱이, 부모의 모바일 기기에 있는 애플리케이션의 보안 문제로 인해 공격자가 원격으로 로봇을 제어하고 네트워크에 무단으로 접근할 수 있습니다. 공격자는 무차별 대입 공격을 사용해 OTP 비밀번호를 복구하고 로그인 시도 실패 횟수에 제한이 없는 기능을 사용하여 원격으로 로봇을 자신의 계정에 연결하고, 이를 통해 소유자의 장치 제어를 비활성화할 수 있습니다.
Kaspersky ICS CERT의 수석 보안 연구원인 Nikolay Frolov는 "스마트 장난감을 구매할 때는 엔터테인먼트와 교육적 가치뿐만 아니라 안전 및 보안 기능도 고려하는 것이 중요합니다."라고 말했습니다. "가격이 높을수록 보안이 더 좋다는 일반적인 인식이 있지만, 가장 비싼 스마트 장난감조차도 공격자가 악용할 수 있는 취약점에 완전히 면역이 있는 것은 아니라는 점에 유의하는 것이 중요합니다. 따라서 부모는 장난감 리뷰를 주의 깊게 읽고, 스마트 기기를 최신 버전으로 업데이트하고, 자녀의 놀이 활동을 면밀히 모니터링해야 합니다."
[광고2]
소스 링크
댓글 (0)