Istraživači kompanije Kaspersky otkrili su da je popularna smart Igračka - robot ranjiva na potencijalne sajber napade koje kriminalci mogu da iskoriste da bi stupili u kontakt sa decom preko putem video chat-a, bez saglasnosti roditelja. Postoji rizik da hakeri dobiju direktan pristup osetljivim informacijama poput imena korisnika, pola, godina, pa čak i njihove lokacije.
Robot - igračka koristi android OS, ima kameru i mikrofon. Koristi veštačku inteligenciju (AI) da prepozna i komunicira sa decom, kao i da prilagodi svoje odgovore na osnovu dečjeg raspoloženja, te se postepeno upoznaje sa njima. Da bi otključali sve mogućnosti igračke, roditelji su obavezni da preuzmu aplikaciju preko koje mogu da prate napredak deteta, pa čak i da iniciraju video poziv preko robota.
Tokom početnog podešavanja, roditelji dobijaju uputstva da povežu igračku sa Wi-Fi mrežom, povežu je sa svojim mobilnim uređajem, a zatim navedu ime i uzrast deteta. Tokom ove faze, stručnjaci kompanije Kaspersky otkrili su ozbiljan bezbednosni problem: odgovornom API-ju (Aplikacijski programski interfejs) za traženje ovih informacija nedostaje sprovođenje autentifikacije, odnosno korak koji potvrđuje ko može da pristupi vašoj mreži. Ovo potencijalno omogućava sajber kriminalcima da presretnu i pristupe različitim vrstama podataka – uključujući ime deteta, starost, pol, zemlju prebivališta, pa čak i njihovu IP adresu – presretanjem i analizom mrežnog saobraćaja. Štaviše, ova mana omogućava sajber kriminalcima da iskoriste kameru i mikrofon robota, te iniciraju direktne pozive, zaobilazeći tako potrebnu autorizaciju sa naloga staratelja. Ako dete prihvati ovaj poziv, napadač može tajno da komunicira sa njim, bez pristanka roditelja. U takvim slučajevima, osim manipulacije, moguće je i da dođe do ozbiljnih situacija poput nagovaranja deteta da napusti bezbednost doma ili vršenje pritiska da se upusti u rizična ponašanja.
Štaviše, bezbednosni problemi roditeljske mobilne aplikacije mogu omogućiti napadaču da daljinski preuzme kontrolu nad robotom i dobije neovlašćeni pristup mreži. Koristeći silu da povrati šestocifrenu jednokratnu lozinku (OTP), i bez prinudnog ograničenja neuspešnih pokušaja, napadač bi mogao daljinski da poveže robota sa sopstvenim nalogom, i tako preuzme kontrolu nad uređajem.
„Kada kupujete pametne igračke, pored zabavne i obrazovne komponente, izuzetno je važno da budete upoznati i sa bezbednosnim karakteristikama uređaja. Uprkos verovanju da veća cena podrazumeva i veću bezbednost, čak i najskuplje pametne igračke možda nisu poseduju ranjivosti koje napadači mogu da zloupotrebe. Stoga roditelji moraju pažljivo da ispitaju recenzije igračaka, da budu oprezni u vezi sa ažuriranjem softvera pametnih uređaja i pažljivo nadgledaju aktivnosti svog deteta tokom igre“, komentariše Nikolaj Frolov, viši istraživač bezbednosti u Kaspersky ICS CERT-u.
Rezultati i zaključci istraživanja tima predstavljeni su tokom panel sesije „Osnaživanje ugroženih u digitalnom okruženju“ na MWC 2024.
Kaspersky tim je proizvođaču igračke prijavio sve propuste koji su otkriveni, te su blagovremeno otklonjeni.
Više informacija možete saznati na Securelist.com.
Da bi svi pametni uređaji bili bezbedni i zaštićeni, stručnjaci kompanije Kaspersky savetuju:
Ažurirajte svoje uređaje: Redovno ažurirajte firmware i softver svih povezanih uređaja, uključujući i pametne igračke. Ažuriranja često sadrže ključne bezbednosne zakrpe koje rešavaju poznate ranjivosti.
Istražite pre kupovine: Istražite reputaciju proizvođača u pogledu bezbednosti i privatnosti. Izaberite uređaje renomiranih brendova koji prioritizuju bezbednost i redovna ažuriranja.
Budite oprezni sa dozvolama za aplikacije: Pregledajte i ograničite dozvole date mobilnim aplikacijama povezanim sa vašim pametnim uređajem.
Isključite uređaj kada se ne koristi: Isključite pametnu igračku kada se ne koristi da biste sprečili prikupljanje podataka. Ako uređaj ima mikrofon, čuvajte ga na teško dostupnom mestu i pokrijte ili preusmerite sve kamere kada se ne koriste.
Koristite pouzdana bezbednosna rešenja: Koristite pouzdano bezbednosno rešenje kako biste obezbedili i zaštitili ceo ekosistem pametnog doma.