«Лаборатория Касперского» обнаружила уязвимости в умной детской игрушке

Уважаемые пользователи!

Основные результаты исследования «Лаборатория Касперского» представила на Mobile World Congress 2024. 

Робот, о котором идет речь — интерактивное устройство на базе операционной системы Android. Он оснащён большим цветным экраном, микрофоном, видеокамерой и может передвигаться — условный «планшет на колёсах». Функциональность робота включает игровые и обучающие приложения для детей, голосовой ассистент, возможность выхода в интернет и связи с родителями через приложения на их смартфонах.

Перед началом использования, робота необходимо связать с аккаунтом взрослых. Для этого нужно установить на своём мобильном устройстве специальное приложение. При первом включении игрушка просит выбрать сеть Wi-Fi, привязать робота к мобильному устройству родителя и ввести имя и возраст ребёнка.

Какие уязвимости были найдены:

1. Информация о ребёнке передавалась по протоколу HTTP в открытом виде. Теоретически злоумышленники могли бы перехватить её, используя ПО для анализа сетевого трафика. При этом протокол HTTP использовался до обновления прошивки робота до актуальной версии, после обновления стал использоваться HTTPS.

Эксперты изучили некоторые сетевые запросы и увидели, что один из них возвращает токен доступа к API на основе следующих аутентификационных данных: имя пользователя, пароль и ключ. Происходило это даже в том случае, если запрос содержал заведомо неправильный пароль из произвольного набора символов.

Следующий сетевой запрос возвращал параметры конфигурации для конкретного робота по уникальному идентификатору. Набор символов был коротким и предсказуемым, потенциально злоумышленники могли быстро подобрать его и получить информацию о владельце игрушки, в том числе IP-адрес, страну проживания, имя, пол и возраст ребёнка, а также, с помощью ещё одного запроса, адрес электронной почты, номер телефона взрослого и код для привязки его мобильного устройства к роботу.

2. Звонки от злоумышленников. При установке сеанса видеосвязи отсутствовали должные проверки безопасности. Злоумышленники потенциально могли использовать камеру и микрофон робота для звонков детям без авторизации с родительского аккаунта. В таком случае, если бы ребёнок принял звонок, недоброжелатель мог бы начать общаться с ним без ведома взрослых.

3. Удалённый контроль. Используя метод брутфорса (полного перебора паролей) для восстановления шестизначного одноразового пароля и не имея ограничений на кол-во попыток, злоумышленник потенциально мог удалённо привязать робота к своей учётной записи вместо родительского аккаунта. Чтобы восстановить связь легитимным путём, стоит обратиться в техподдержку производителя.

После того как «Лаборатория Касперского» сообщила о проблемах безопасности производителю, он исправил их.

«При покупке „умных“ устройств необходимо обращать внимание не только на их развлекательные и образовательные опции, но и на уровень защищённости. При этом не стоит полагаться на цену — даже самые дорогие смарт-устройства могут иметь уязвимости, которыми могут воспользоваться злоумышленники. Мы рекомендуем родителям внимательно изучать обзоры умных игрушек, следить за новостями об обновлениях программного обеспечения и по возможности присматривать за ребёнком, пока он взаимодействует с таким гаджетом», — советует Николай Фролов, старший исследователь Kaspersky ICS CERT.

Больше узнать о том, как проводилось исследование, и его результатах, можно на сайте: securelist.ru/smart-robot-security-research/109035/.

«Лаборатория Касперского» рекомендует пользователям умных устройств, в том числе умных игрушек:

• регулярно обновлять прошивку и ПО всех подключённых устройств, так как обновления часто содержат важные исправления безопасности, устраняющие известные уязвимости;
• перед покупкой изучать информацию об устройстве и разработчике: доверять лучше проверенным игрокам рынка;
• просматривать и ограничивать разрешения, предоставляемые мобильным приложениям для управления умным устройством;
• обеспечивать безопасность мобильных устройств, через которые происходит управление умными гаджетами, с помощью надёжного защитного решения.

Ознакомиться с полной статьей Вы можете здесь. Источник новости: www.kaspersky.ru

Помните, что не только Вашему бизнесу нужна защита! 
Защиту для домашних пользователей можно купить в интернет-магазине компании «ЮКОЛА-ИНФО». 

Если у Вас возникли вопросы или желаете получить консультацию по определенному решению — позвоните нам по телефонам:
+375 (17) 28 28 903 МГТС
+375 (29) 128 34 62 А1 (Viber)
+375 (33) 666 59 03 МТС

Приятной работы!