Специалисты «Лаборатории Касперского» опубликовали результаты нового исследования по поиску уязвимостей. Его предметом стала смарт-игрушка, способная подключаться к интернету и совершать видеозвонки. В ходе анализа эксперты обнаружили несколько уязвимостей, которые позволяли злоумышленникам получать доступ к конфиденциальным данным и общаться с детьми без ведома их родителей.
Как сообщают в «Лаборатории Касперского», игрушка на базе ОС Android может передвигаться, оснащена большим цветным экраном, микрофоном и видеокамерой. Игрушка предлагает игровые и обучающие приложения для детей, голосового ассистента, доступ в интернет и способна связываться с родительским приложением для смартфона.
Перед началом использования робота его необходимо связать с аккаунтом родителя и подключить к домашней сети.
«При первом включении игрушка просит выбрать сеть Wi-Fi, привязать робота к мобильному устройству родителя и ввести минимальную информацию о ребёнке, который будет пользоваться игрушкой (имя, возраст). При анализе трафика мы обнаружили, что эта информация передаётся по протоколу HTTP в открытом виде и, таким образом, её можно перехватить с помощью программного обеспечения для анализа сетевого трафика. Это была первая обнаруженная нами проблема, связанная с безопасностью», — сообщают в «Лаборатории Касперского».
Специалисты нашли и множество других. Так, они обнаружили уязвимости в API игрушки, позволяющие совершать входящие видеозвонки на робота, перерегистрировать робота на себя или подменить архивы с обновлениями на вредоносные. Уязвимости также давали возможность украсть чувствительную информацию, такую как данные ребёнка, страна и город проживания, телефон и электронный адрес родителя.
«Приятным моментом стало то, что вендор вышел на связь и принял на себя ответственность за все обнаруженные проблемы безопасности, о которых мы ему сообщили», — уточняют эксперты компании. «Лаборатория Касперского» сообщила об уязвимостях 27 марта 2023 года. Производитель исправил проблемы с безопасностью к августу.
