В «Лаборатории Касперского» обнаружили уязвимость в популярной умной детской игрушке. Исследование было представлено на MWC 2024, передает пресс-служба компании.
Лаборатория не стала называть конкретную модель игрушки, чтобы не подставлять производителя. Эксперты описали игрушку как интерактивное устройство на базе Android с дисплеем, микрофоном, камерой и колесами для передвижения. Робот мог включать игры-«обучалки», общаться с ребенком и связываться с родителями по видеосвязи.
Выяснилось, что перед первым использованием игрушки родителю нужно было подключить робота к смартфону через специальное приложение. При включении игрушка просит выбрать Wi-Fi, привязать робота к телефону взрослого и ввести имя и возраст ребенка. Ту-то и начались проблемы.
Какие проблемы обнаружили специалисты
Во-первых, информация о почте родителя и имени ребенка передавались на сервера производителя по устаревшему протоколу HTTP (без шифрования). Если производитель использовал бы протокол HTTPS, утечек можно было избежать.
Во-вторых, у игрушки не оказалось надежной защиты, которая бы спасала от слива данных пользователей. Не самый профессиональный мошенник мог запросто подключиться к роботу удаленно и узнать о владельцах все: IP-адрес, страну проживания, имя, пол и возраст ребенка. Также скамеры могли узнать номер телефона родителя и его почту.
В-третьих, у игрушки не было поддержки сквозного шифрования во время видеозвонков. Мошенникам ничего не запрещало использовать камеру и микрофон робота для звонков детям. Если бы ребенок принял вызов, злоумышленник мог начать общаться с несовершеннолетним с корыстными побуждениями.
В-четвертых, в игрушке не оказалось защиты от взлома паролей — мошенники могли взломать родительский аккаунт банальным перебором.
При покупке «умных» устройств необходимо обращать внимание не только на их развлекательные и образовательные опции, но и на уровень защищенности. При этом не стоит полагаться на цену — даже самые дорогие смарт-устройства могут иметь уязвимости, которыми могут воспользоваться злоумышленники.
Что важно знать родителям:
- Покупайте умные игрушки известных и крупных брендов;
- Регулярно обновляйте ПО игрушки и фирменное мобильное приложение от нее;
- Ограничьте доступ к ненужным настройкам приложениям от смарт-игрушек;
Производители таких игрушек, со своей стороны, должны тщательно тестировать защищенность своих продуктов и инфраструктуры и ответственно информировать покупателей о возможных угрозах.
Ранее в России рассказали о схеме обмана с обновлением мобильных приложений банка.