智能玩具的漏洞可能会让网络罪犯与儿童视频聊天
【慧聪通信网】卡巴斯基研究人员发现,一种流行的智能玩具机器人存在漏洞,可能使儿童成为网络罪犯的潜在目标。这些漏洞可使黑客控制该玩具的系统,并在未经家长同意的情况下,滥用该系统与儿童秘密进行视频聊天。与该机器人系统应用相关的风险还包括用户的姓名、性别、年龄甚至位置等敏感信息可能被泄露的危险。
一款专为儿童设计的基于安卓系统的机器人配备了内置摄像头和麦克风。它利用人工智能识别孩子的名字并与之互动,还能根据孩子的情绪调整反应,随着时间的推移逐渐与孩子熟悉起来。为了充分发挥玩具的潜力,父母需要将应用程序下载到他们的移动设备上。通过这个应用程序,父母可以跟踪孩子在学习活动中的进展,甚至可以通过机器人与孩子进行视频通话。
在初始设置过程中,家长被指示将玩具连接到Wi-Fi网络,将其与他们的移动设备链接,然后提供孩子的姓名和年龄。在此阶段,卡巴斯基专家发现了一个令人担忧的安全问题:负责请求这些信息的应用程序接口(API)缺乏身份验证执行,而身份验证是确认谁可以访问网络资源的一个步骤。这有可能让网络罪犯通过拦截和分析网络流量,截获和获取各种类型的数据,包括儿童的姓名、年龄、性别、居住国,甚至他们的 IP 地址。更重要的是,这个漏洞使网络罪犯能够利用机器人的摄像头和麦克风,直接呼叫用户,绕过监护人账户所需的授权。如果儿童接受了这一呼叫,攻击者就可以在未经父母同意的情况下进行隐蔽通信。在这种情况下,攻击者可以操纵用户,可能诱使他们离开安全的家或影响他们从事危险行为。
此外,家长移动应用程序的安全问题可能会使攻击者远程控制机器人,并在未经授权的情况下访问网络。攻击者可以使用暴力破解方法来恢复六位数字的一次性密码(OTP),而且没有设置失败尝试次数的限制,因此攻击者可以远程将机器人与自己的账户关联起来,有效地使设备脱离其所有者的控制。。
“在购买智能玩具时,不仅要重视其娱乐和教育价值,还要关注其安全性和安全功能。尽管人们普遍认为价格越高就意味着安全性越强,但我们必须明白,即使是最昂贵的智能玩具也可能存在攻击者可以利用的漏洞。因此,家长必须仔细审查玩具评价,保持警惕,及时更新智能设备的软件,并在孩子玩耍时密切监督他们的活动,”卡巴斯基ICSCERT高级安全研究员NikolayFrolov评论说。
在2024年世界移动通信大会(MWC)上举行的题为“在数字环境中赋能弱势群体”的研讨会上,展示了该团队的详细研究结果。
卡巴斯基团队将他们发现的所有漏洞及时报告给供应商,供应商迅速修补了这些漏洞。
更多详情,请参见Securelist.com
为了确保所有智能设备的安全,卡巴斯基专家给出了以下建议:
· 保持设备更新: 定期更新所有联网设备(包括智能玩具)的固件和软件。这些更新通常包含解决已知漏洞的重要安全补丁。
· 购买前进行调查:在购买智能玩具或任何联网设备之前,请调查制造商在安全和隐私方面的声誉。选择来自信誉良好的品牌的设备,这些品牌优先考虑安全,并提供定期更新。
· 谨慎处理应用程序权限:审查并限制与您的智能设备相关的移动应用程序所授予的权限。只提供必要的功能和数据访问权限,并避免授予过多的权限。
· 不使用时关闭电源:在不使用智能玩具时关闭电源,以防止数据收集。如果设备有麦克风,请在不使用时将其存放在难以触及的地方,并在不使用时遮住或调整摄像头的方向。
· 使用可靠的安全解决方案:采用可靠的安全解决方案,以帮助保护和保障您整个智能家居生态系统的安全。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球220,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
