ช่องโหว่ด้านความปลอดภัยในของเล่นอัจฉริยะเป็นอันตรายต่อเด็ก

นักวิจัยจาก Kaspersky ค้นพบช่องโหว่ในหุ่นยนต์ของเล่นอัจฉริยะซึ่งอาจทำให้เด็กๆ กลายเป็นเป้าหมายของอาชญากรทางไซเบอร์ได้

ข้อบกพร่องในหุ่นยนต์ของเล่นอัจฉริยะอาจทำให้เด็กๆ ตกเป็นเป้าหมายของอาชญากรไซเบอร์

ช่องโหว่นี้ทำให้แฮกเกอร์สามารถควบคุมระบบหุ่นยนต์เพื่อสนทนาทางวิดีโอกับเด็ก ๆ โดยไม่ได้รับความยินยอมจากผู้ปกครอง ไม่เพียงเท่านั้น ความเสี่ยงที่เกี่ยวข้องกับการใช้งานระบบหุ่นยนต์นี้ยังเปิดโอกาสให้เกิดอันตรายอื่นๆ เช่น ข้อมูลส่วนบุคคลของเด็ก เช่น ชื่อ เพศ อายุ และแม้แต่ที่ตั้งทางภูมิศาสตร์ก็อาจถูกขโมยได้

นี่คือหุ่นยนต์ของเล่นเด็กที่ทำงานบนระบบปฏิบัติการ Android ซึ่งติดตั้งกล้องและไมโครโฟน โดยใช้ปัญญาประดิษฐ์ในการจดจำ เรียกเด็กตามชื่อ ปรับการตอบสนองโดยอัตโนมัติตามอารมณ์ของเด็ก และหลังจากนั้นสักระยะ หุ่นยนต์ก็จะคุ้นเคยกับเด็ก เพื่อใช้ประโยชน์จากคุณสมบัติของหุ่นยนต์ได้อย่างเต็มที่ ผู้ปกครองจำเป็นต้องดาวน์โหลดแอปพลิเคชันควบคุมลงในอุปกรณ์มือถือของตน แอปดังกล่าวช่วยให้ผู้ปกครองสามารถติดตามความก้าวหน้าการเรียนรู้ของบุตรหลาน และยังสามารถวิดีโอคอลกับพวกเขาผ่านหุ่นยนต์ได้อีกด้วย

anh-kaspersky-1-smart-toy-vulnerabilities-could-let-cybercriminals-video-chat-with-kids-6839.jpg

โดยเฉพาะอย่างยิ่งผู้เชี่ยวชาญของ Kaspersky ได้ค้นพบปัญหาความปลอดภัยที่น่าเป็นห่วง นั่นคือ Application Programming Interface ที่ร้องขอข้อมูลของเด็กขาดการตรวจสอบสิทธิ์ ซึ่งเป็นการตรวจสอบที่สำคัญเพื่อยืนยันว่าใครบ้างที่ได้รับอนุญาตให้เข้าถึงทรัพยากรเครือข่ายของผู้ใช้ สิ่งนี้ก่อให้เกิดความเสี่ยงที่ผู้ก่ออาชญากรรมทางไซเบอร์สามารถดักจับและขโมยข้อมูลหลากหลายประเภท รวมถึงชื่อเด็ก อายุ เพศ ประเทศที่อยู่อาศัย และแม้กระทั่งที่อยู่ IP ด้วยการดักจับและวิเคราะห์ความถี่ในการเข้าถึงเครือข่าย ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเริ่มการโทรวิดีโอสดกับเด็กๆ โดยหลีกเลี่ยงความยินยอมจากบัญชีของผู้ปกครองโดยสิ้นเชิง หากเด็กรับสาย ผู้โจมตีสามารถแลกเปลี่ยนความลับกับเด็กได้โดยไม่ต้องได้รับอนุญาตจากผู้ปกครอง ในกรณีนี้ ผู้โจมตีอาจใช้การจัดการ ล่อลวงเด็กออกจากบ้าน หรือสั่งให้เด็กมีพฤติกรรมอันตราย

นอกจากนี้ ปัญหาความปลอดภัยของแอปพลิเคชันในอุปกรณ์มือถือของผู้ปกครองอาจทำให้ผู้โจมตีสามารถควบคุมหุ่นยนต์จากระยะไกลและเข้าถึงเครือข่ายโดยไม่ได้รับอนุญาต การใช้กำลังแบบบรูทฟอร์ซในการกู้คืนรหัสผ่าน OTP และคุณสมบัติในการพยายามเข้าสู่ระบบล้มเหลวไม่จำกัดจำนวน ทำให้ผู้โจมตีสามารถเชื่อมโยงหุ่นยนต์กับบัญชีของตนเองจากระยะไกลได้ ทำให้เจ้าของไม่สามารถควบคุมอุปกรณ์ได้

เพื่อให้แน่ใจถึงความปลอดภัยของอุปกรณ์อัจฉริยะ ผู้เชี่ยวชาญของ Kaspersky ได้ให้คำแนะนำดังต่อไปนี้:

• อัปเดตอุปกรณ์เทคโนโลยีเป็นประจำ: อัปเดตซอฟต์แวร์ที่เขียนโปรแกรมไว้ในฮาร์ดแวร์ของอุปกรณ์อิเล็กทรอนิกส์ (เฟิร์มแวร์) และซอฟต์แวร์สำหรับอุปกรณ์ที่เชื่อมต่อทั้งหมด รวมถึงของเล่นอัจฉริยะ การอัปเดตเหล่านี้มักจะมีแพตช์ความปลอดภัยที่สำคัญเพื่อแก้ไขช่องโหว่

• ค้นคว้าข้อมูลผลิตภัณฑ์อย่างละเอียดก่อนซื้อ: ตรวจสอบแนวทางปฏิบัติด้านความปลอดภัยและความเป็นส่วนตัวของผู้ผลิตอย่างละเอียดถี่ถ้วนก่อนซื้อของเล่นอัจฉริยะหรืออุปกรณ์ที่เชื่อมต่อใดๆ เลือกอุปกรณ์จากแบรนด์ที่มีชื่อเสียง ให้ความสำคัญกับแบรนด์ที่เน้นเรื่องความปลอดภัย และอัปเดตเป็นประจำ

• ระมัดระวังในการเข้าถึงแอป: ตรวจสอบและจำกัดการเข้าถึงแอปมือถือให้อยู่ในอุปกรณ์อัจฉริยะ ให้สิทธิ์เข้าถึงเฉพาะคุณลักษณะและข้อมูลเท่านั้น และหลีกเลี่ยงการให้สิทธิพิเศษที่ไม่จำเป็น

• ปิดผลิตภัณฑ์เมื่อไม่ได้ใช้งาน: ปิดของเล่นอัจฉริยะเมื่อไม่ได้ใช้งานเพื่อป้องกันการรั่วไหลของข้อมูล หากอุปกรณ์ของคุณมีไมโครโฟน ให้เก็บให้พ้นมือเข้าถึง ปิดไว้ หรือหันกล้องออกไปเมื่อไม่ได้ใช้งาน

• ใช้โซลูชันความปลอดภัยที่เชื่อถือได้: ใช้โซลูชันความปลอดภัยที่เชื่อถือได้เพื่อช่วยปกป้องระบบนิเวศอุปกรณ์อัจฉริยะทั้งหมดของคุณ

“การซื้อของเล่นอัจฉริยะนั้น สิ่งสำคัญคือต้องไม่เพียงแต่คำนึงถึงความบันเทิงและคุณค่าทางการศึกษาเท่านั้น แต่ยังต้องคำนึงถึงคุณสมบัติด้านความปลอดภัยและความมั่นคงของของเล่นด้วย ดังนั้น ผู้ปกครองควรอ่านบทวิจารณ์ของเล่นอย่างละเอียด อัปเดตอุปกรณ์อัจฉริยะให้เป็นเวอร์ชันล่าสุด และติดตามกิจกรรมการเล่นของลูกๆ อย่างใกล้ชิด” Nikolay Frolov นักวิจัยด้านความปลอดภัยอาวุโสของ Kaspersky ICS CERT กล่าว

บินห์ลัม

แหล่งที่มา