Los populares robots inteligentes para niños resultaron ser vulnerables a los atacantes. "Kaspersky Lab" descubrió una serie de puntos débiles en el software de un gadget popular. Al hackear un robot de este tipo, los atacantes podrían tener la oportunidad de comunicarse con el niño sin el conocimiento de sus padres, espiar y escuchar a escondidas lo que sucede en la casa o apartamento. Además, el robot podría ayudar a filtrar datos personales: desde la dirección donde vive el niño hasta los correos electrónicos, teléfonos y otros datos de sus padres.
Los fabricantes del gadget basado en Android ya han sido notificados de los problemas de seguridad y los han solucionado. Sin embargo, no son los únicos fabricantes de juguetes inteligentes que pueden representar una amenaza para sus propietarios.
Vulnerabilidades del robot inteligente
Antes de comenzar a usar el robot, que fue investigado en "Kaspersky Lab", era necesario vincularlo a la cuenta de un adulto a través de una aplicación especial en el teléfono inteligente. Al encender el juguete por primera vez, se le pedía que seleccionara una red Wi-Fi, vinculara el robot al dispositivo móvil de los padres e ingresara el nombre y la edad del niño.
Estos datos se transmitían a través del protocolo HTTP en forma abierta. Utilizando software para analizar el tráfico de la red, se podían interceptar desde el exterior. Al mismo tiempo, el protocolo HTTP se utilizó hasta que el firmware del robot se actualizó a la versión actual, después de la actualización se comenzó a utilizar HTTPS.
Además, los expertos estudiaron algunas solicitudes de red y vieron que una de ellas devuelve un token de acceso a la API basado en los siguientes datos de autenticación: nombre de usuario, contraseña y clave. Además, esto sucedía incluso si la solicitud contenía una contraseña incorrecta de un conjunto arbitrario de símbolos.
La siguiente solicitud de red devolvía los parámetros de configuración para un robot específico por un identificador único que consta de nueve símbolos. Pero, dado que este conjunto de símbolos era corto y predecible, los atacantes potenciales podrían seleccionarlo rápidamente y, como resultado, obtener información sobre el propietario del juguete, incluido la dirección IP, el país de residencia, el nombre, el sexo y la edad del niño, así como, con la ayuda de otra solicitud, la dirección de correo electrónico, el número de teléfono del adulto y el código para vincular su dispositivo móvil al robot.
Además, los especialistas en seguridad descubrieron que no había controles de seguridad al establecer una videollamada. Esto significa que los atacantes podrían potencialmente llamar a los niños sin autorización desde la cuenta de los padres y sin el conocimiento de los adultos.
También resultó ser débil la forma de controlar el robot. Se podía adivinar la contraseña de forma ilimitada y fácil, y al adivinarla, el atacante podría potencialmente vincular de forma remota el robot a su cuenta en lugar de a la cuenta de los padres.
Cómo proteger sus dispositivos inteligentes y juguetes inteligentes
"Kaspersky Lab" recomienda que antes de comprar un dispositivo, estudie la información sobre él y su desarrollador y confíe solo en los fabricantes probados en el mercado. Es aconsejable ver y leer no solo las reseñas, sino también familiarizarse con reseñas detalladas e investigaciones sobre la seguridad del gadget o juguete.
Después de comprar el dispositivo, es necesario:
- ver y limitar los permisos que se otorgan a las aplicaciones móviles para controlar el dispositivo;
- actualizar regularmente el firmware y el software de todos los dispositivos conectados; las actualizaciones a menudo contienen importantes correcciones de seguridad que eliminan las vulnerabilidades conocidas;
- garantizar la seguridad de los dispositivos móviles a través de los cuales se controlan los gadgets inteligentes, con la ayuda de una solución de protección confiable;
- para evitar el espionaje y las escuchas a escondidas con la ayuda de dispositivos inteligentes, vale la pena apagarlos cuando no estén en uso. También debe cerrar la cámara incorporada con una cortina especial o pegarla con una pegatina.
Además, los especialistas en seguridad recomiendan a los padres que compraron juguetes inteligentes similares para sus hijos que los vigilen durante la interacción con los gadgets.
