Исследователи «Лаборатории Касперского» обнаружили в детском интерактивном роботе уязвимости, которые потенциально могли позволить злодеям использовать камеру в игрушке для общения с ребёнком без ведома родителей.
Робот, «начинку» которого проанализировали профессионалы «Лаборатории Касперского», - это интерактивное устройство на базе операционной системы Android. Он оснащён большим цветным экраном, микрофоном, видеокамерой и может предвигаться - относительный «планшет на колёсах». Функциональность робота включает игровые и обучающие приложения для детей, голосовой ассистент, возможность выхода в интернет и связи с родителями через приложения на их смартфонах.
Перед началом использования робота его необходимо связать с аккаунтом взрослых. На этот предмет пользователь обязан установить на своём мобильном устройстве специальное приложение. При первом включении игрушка просит выбрать сеть Wi-Fi, привязать робота к мобильному устройству родителя и ввести имя и возраст ребёнка.
Первый серьёзный недостаток с точки зрения кибербезопасности заключался в том, что информация о ребёнке предавалась по протоколу HTTP в открытом виде. Таким образом, теоретически преступники могли бы перехватить её, используя программный код для анализа сетевого трафика. При этом протокол HTTP использовался до обновления прошивки робота до актуальной версии, после обновления стал использоваться HTTPS.
Также эксперты выучили некоторые сетевые запросы и увидели, что какой-то из них отдаёт токен доступа к API на основании следующих аутентификационных данных: имя пользователя, пароль и ключ. Причём происходило это ведь даже в том случае, если запрос содержал заведомо ложный пароль из произвольного комплекта символов.
Следующий сетевой запрос отдавал параметры конфигурации для конкретного робота по уникальному идентификатору, состоящему из девяти символов. Но, поскольку данный набор символов был кратким и предсказуемым, то потенциально преступники могли живо подобрать его и в итоге получить информацию о владельце игрушки, в том числе IP-адрес, страну проживания, имя, пол и возраст ребёнка, а также, за счет ещё одного запроса, адрес электронной почты, номер телефона взрослого и код для привязки его мобильного устройства к роботу.
При установке сеанса видеосвязи отсутствовали должные проверки безопасности. Злоумышленники потенциально могли бы использовать камеру и микрофон робота для звонков детям без авторизации с родительского аккаунта. В подобном случае, если только ребёнок принял звонок, недоброжелатель мог бы начать общаться с ним без ведома взрослых.
Используя метод брутфорса (полного перебора паролей) для возрождения шестизначного одноразового пароля и не имея ограничений на количество безуспешных попыток, злоумышленник потенциально мог удалённо привязать робота к своей учётной записи вместо родительского аккаунта. В подобном случае, чтобы восстановить связь легитимным маршрутом, пришлось бы обратиться в техподдержку производителя.
После того как «Лаборатория Касперского» сообщила о проблемах безопасности производителю, он исправил их.
Фото: Unsplash.com