พบช่องโหว่ด้านความปลอดภัยในของเล่นอัจฉริยะของเด็ก

ช่องโหว่นี้ทำให้แฮกเกอร์สามารถควบคุมระบบหุ่นยนต์เพื่อวิดีโอแชทกับเด็ก ๆ โดยไม่ได้รับความยินยอมจากผู้ปกครอง ไม่เพียงเท่านั้น ความเสี่ยงที่เกี่ยวข้องกับการใช้งานระบบหุ่นยนต์นี้ยังเปิดโอกาสให้เกิดอันตรายอื่นๆ เช่น ข้อมูลส่วนบุคคลของเด็ก เช่น ชื่อ เพศ อายุ และแม้แต่ที่ตั้งทางภูมิศาสตร์ก็อาจถูกขโมยได้

Phát hiện lỗ hổng bảo mật trong đồ chơi thông minh của trẻ nhỏ- Ảnh 1. — ของเล่นอัจฉริยะอาจกลายเป็นเป้าหมายของแฮกเกอร์

นี่คือหุ่นยนต์ของเล่นเด็กที่ทำงานบนระบบปฏิบัติการ Android พร้อมกล้องและไมโครโฟน ใช้ปัญญาประดิษฐ์ในการจดจำ เรียกเด็กตามชื่อ ปรับการตอบสนองโดยอัตโนมัติตามอารมณ์ของเด็ก และหลังจากนั้นสักระยะ หุ่นยนต์ก็จะคุ้นเคยกับเด็ก เพื่อใช้ประโยชน์จากคุณสมบัติของหุ่นยนต์ได้อย่างเต็มที่ ผู้ปกครองจำเป็นต้องดาวน์โหลดแอปพลิเคชันควบคุมลงในอุปกรณ์มือถือของตน แอปดังกล่าวช่วยให้ผู้ปกครองสามารถติดตามความก้าวหน้าการเรียนรู้ของบุตรหลาน และยังสามารถวิดีโอคอลกับพวกเขาผ่านหุ่นยนต์ได้อีกด้วย

ในระหว่างขั้นตอนการตั้งค่า ผู้ปกครองจะได้รับคำแนะนำให้เชื่อมต่อหุ่นยนต์กับอุปกรณ์มือถือของตนผ่าน Wi-Fi หลังจากนั้นพวกเขาจะระบุชื่อและอายุของเด็กลงในอุปกรณ์ อย่างไรก็ตาม ผู้เชี่ยวชาญของ Kaspersky ได้ค้นพบปัญหาความปลอดภัยที่น่าเป็นห่วง นั่นคือ Application Programming Interface ที่ร้องขอข้อมูลของเด็กขาดการตรวจสอบสิทธิ์ ซึ่งเป็นการตรวจสอบที่สำคัญเพื่อยืนยันว่าใครบ้างที่ได้รับอนุญาตให้เข้าถึงทรัพยากรเครือข่ายของผู้ใช้

สิ่งนี้ก่อให้เกิดความเสี่ยงที่ผู้ก่ออาชญากรรมทางไซเบอร์สามารถดักจับและขโมยข้อมูลหลากหลายประเภท รวมถึงชื่อเด็ก อายุ เพศ ประเทศที่อยู่อาศัย และแม้กระทั่งที่อยู่ IP ด้วยการดักจับและวิเคราะห์ความถี่ในการเข้าถึงเครือข่าย

ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเริ่มการโทรวิดีโอสดกับเด็กๆ โดยหลีกเลี่ยงความยินยอมจากบัญชีของผู้ปกครองโดยสิ้นเชิง หากเด็กรับสาย ผู้โจมตีสามารถแลกเปลี่ยนความลับกับเด็กได้โดยไม่ต้องได้รับอนุญาตจากผู้ปกครอง ในกรณีนี้ ผู้โจมตีอาจใช้การจัดการ ล่อลวงเด็กออกจากบ้าน หรือสั่งให้เด็กมีพฤติกรรมอันตราย

นอกจากนี้ ปัญหาความปลอดภัยของแอปพลิเคชันในอุปกรณ์มือถือของผู้ปกครองอาจทำให้ผู้โจมตีสามารถควบคุมหุ่นยนต์จากระยะไกลและเข้าถึงเครือข่ายโดยไม่ได้รับอนุญาต การใช้วิธีการบรูทฟอร์ซในการกู้คืนรหัสผ่าน OTP และคุณสมบัติการพยายามเข้าสู่ระบบล้มเหลวแบบไม่จำกัดจำนวน ทำให้ผู้โจมตีสามารถเชื่อมโยงหุ่นยนต์กับบัญชีของตนเองจากระยะไกลได้ ทำให้เจ้าของไม่สามารถควบคุมอุปกรณ์ได้

Nikolay Frolov นักวิจัยด้านความปลอดภัยอาวุโสของ Kaspersky ICS CERT กล่าวว่า “เมื่อซื้อของเล่นอัจฉริยะ สิ่งสำคัญคือต้องพิจารณาไม่เพียงแค่ความบันเทิงและคุณค่าทางการศึกษาเท่านั้น แต่รวมถึงคุณสมบัติด้านความปลอดภัยด้วย” “แม้ว่าจะมีการรับรู้โดยทั่วไปว่าราคาที่สูงขึ้นหมายถึงความปลอดภัยที่ดีกว่า แต่สิ่งสำคัญคือต้องทราบว่าแม้แต่ของเล่นอัจฉริยะที่มีราคาแพงที่สุดก็ยังไม่ปลอดภัยจากช่องโหว่ที่ผู้โจมตีสามารถใช้ประโยชน์ได้ ดังนั้นผู้ปกครองควรอ่านบทวิจารณ์ของเล่นอย่างละเอียด อัปเดตอุปกรณ์อัจฉริยะให้เป็นเวอร์ชันล่าสุด และติดตามกิจกรรมการเล่นของลูกๆ อย่างใกล้ชิด”

ลิงค์ที่มา