Популярные детские умные роботы оказались уязвимы для злоумышленников. «Лаборатория Касперского» обнаружила ряд слабых мест в программном обеспечении популярного гаджета. Взломав такого робота, злоумышленники могли получить возможность общаться с ребенком без ведома его родителей, подглядывать и подслушивать за ним и за тем, что творится в доме или квартире. Кроме того, робот мог помогать и утечке личных данных: от адреса, где живет ребенок, до электронных почт, телефонов и иных данных его родителей.
Производители гаджета на базе Android уже уведомлены о проблемах безопасности, и ликвидировали их. Однако это не единственные производители умных игрушек, которые могут представлять угрозу для своих владельцев.
Перед началом использования робота, который исследовали в «Лаборатории Касперского», его было необходимо связать с аккаунтом взрослых через специальное приложение на смартфоне. При первом включении игрушка просила выбрать сеть Wi-Fi, привязать робота к мобильному устройству родителя, ввести имя и возраст ребенка.
Эти данные передавались по протоколу HTTP в открытом виде. Используя программное обеспечение для анализа сетевого трафика, их можно было перехватить со стороны. При этом протокол HTTP использовался до обновления прошивки робота до актуальной версии, после обновления стал использоваться HTTPS.
Также эксперты изучили некоторые сетевые запросы и увидели, что один из них возвращает токен доступа к API на основе следующих аутентификационных данных: имя пользователя, пароль и ключ. Причем происходило это даже в том случае, если запрос содержал заведомо неправильный пароль из произвольного набора символов. Следующий сетевой запрос возвращал параметры конфигурации для конкретного робота по уникальному идентификатору, состоящему из девяти символов. Но, поскольку этот набор символов был коротким и предсказуемым, то потенциально злоумышленники могли быстро подобрать его и в результате получить информацию о владельце игрушки, в том числе IP-адрес, страну проживания, имя, пол и возраст ребёнка, а также, с помощью еще одного запроса, адрес электронной почты, номер телефона взрослого и код для привязки его мобильного устройства к роботу.
Пресс-служба «Лаборатории Касперского»
Также специалисты по безопасности выяснили, что при установке видеосвязи не было проверок безопасности. Это значит, что злоумышленники потенциально могли звонить детям без авторизации с родительского аккаунта и без ведома взрослых.
Оказался слабым и способ контроля за роботом. Подбирать пароль можно было неограниченно, и легко, и при подборе злоумышленник потенциально мог удаленно привязать робота к своей учетной записи вместо родительского аккаунта.
«Лаборатория Касперского» рекомендует перед покупкой устройства изучить информацию о нем и его разработчике и доверять только проверенным производителям на рынке. Желательно посмотреть и прочитать не только отзывы, но и ознакомиться с подробными обзорами и с исследованиями по безопасности гаджета или игрушки.
После покупки устройства необходимо:
Кроме того, специалисты по безопасности рекомендуют родителям, которые купили своим детям подобные умные игрушки, присматривать за ними во время взаимодействия с гаджетами.