Эта уязвимость позволяет хакерам управлять роботизированной системой для видеочата с детьми без согласия родителей. Но и это еще не все: риски, связанные с применением этой роботизированной системы, также несут в себе и другие опасности, такие как кража личной информации детей, включая имя, пол, возраст и даже географическое местоположение.

Это детский игрушечный робот, работающий на операционной системе Android, оснащенный камерой и микрофоном, использующий искусственный интеллект для распознавания, называния детей по имени, автоматической корректировки ответов в зависимости от настроения ребенка, а через некоторое время робот привыкнет к ребенку. Чтобы в полной мере использовать возможности робота, родителям необходимо загрузить приложение для управления на свои мобильные устройства. Приложение позволяет родителям следить за успеваемостью своих детей и даже совершать с ними видеозвонки через робота.

На этапе настройки родителям предлагается подключить робота к своему мобильному устройству через Wi-Fi, после чего они сообщат устройству имя и возраст ребенка. Однако эксперты «Лаборатории Касперского» обнаружили тревожную проблему безопасности: интерфейс прикладного программирования, запрашивающий информацию о ребенке, не имеет аутентификации, хотя это важная проверка для подтверждения того, кому разрешен доступ к сетевым ресурсам пользователя.

Это создает риск того, что киберпреступники могут перехватить и украсть широкий спектр данных, включая имя ребенка, его возраст, пол, страну проживания и даже IP-адрес, перехватывая и анализируя частоту доступа к сети.

Эта уязвимость позволяет злоумышленникам инициировать видеозвонки с детьми в режиме реального времени, полностью обходя согласие родительского аккаунта. Если ребенок примет звонок, злоумышленник сможет обмениваться с ним секретами без разрешения родителей. В этом случае злоумышленник может манипулировать, уводить ребенка из дома или приказывать ему совершать опасные действия.

Кроме того, проблемы безопасности приложения на мобильном устройстве родителя могут позволить злоумышленникам удаленно управлять роботом и получать несанкционированный доступ к сети. Используя методы подбора паролей OTP и функцию неограниченного количества неудачных попыток входа в систему, злоумышленники могут удаленно привязать робота к своей учетной записи, тем самым лишив владельца возможности управлять устройством.

«При покупке умных игрушек важно учитывать не только их развлекательную и образовательную ценность, но и их функции безопасности», — отметил Николай Фролов, старший научный сотрудник по безопасности Kaspersky ICS CERT. «Хотя существует общее мнение, что более высокие цены означают лучшую безопасность, важно отметить, что даже самые дорогие умные игрушки не полностью защищены от уязвимостей, которыми могут воспользоваться злоумышленники. Поэтому родителям следует внимательно читать обзоры игрушек, обновлять умные устройства до последних версий и внимательно следить за игровыми действиями своих детей».