Diese Sicherheitslücke ermöglicht es Hackern, das Robotersystem zu steuern und ohne Zustimmung der Eltern Videochats mit Kindern zu führen. Darüber hinaus birgt der Einsatz dieses Robotersystems weitere Gefahren: So können beispielsweise persönliche Daten des Kindes wie Name, Geschlecht, Alter und sogar der Standort gestohlen werden.
Intelligentes Spielzeug könnte zum Ziel von Hackern werden
Dies ist ein Android-basierter Spielzeugroboter für Kinder, der mit Kamera und Mikrofon ausgestattet ist. Er nutzt künstliche Intelligenz, um Kinder zu erkennen und zu benennen, seine Reaktionen automatisch an die Stimmung des Kindes anzupassen und es nach einiger Zeit kennenzulernen. Um die Funktionen des Roboters voll auszunutzen, müssen Eltern die Steuerungs-App auf ihr Mobilgerät herunterladen. Mit dieser App können Eltern den Lernprozess ihres Kindes überwachen und sogar Videoanrufe über den Roboter tätigen.
Während der Einrichtung werden Eltern angewiesen, den Roboter über WLAN mit ihrem Mobilgerät zu verbinden und anschließend den Namen und das Alter des Kindes anzugeben. Kaspersky-Experten entdeckten jedoch ein besorgniserregendes Sicherheitsproblem: Die Anwendungsprogrammierschnittstelle (API), die die Kinderinformationen abfragt, verfügt nicht über eine Authentifizierungsfunktion. Diese ist jedoch wichtig, um zu überprüfen, wer auf die Netzwerkressourcen des Benutzers zugreifen darf.
Dadurch besteht das Risiko, dass Cyberkriminelle durch das Abfangen und Analysieren der Häufigkeit der Netzwerkzugriffe eine Vielzahl von Daten abfangen und stehlen können, darunter den Namen, das Alter, das Geschlecht, das Wohnsitzland und sogar die IP-Adresse eines Kindes.
Diese Sicherheitslücke ermöglicht es einem Angreifer, einen Live-Videoanruf mit einem Kind zu starten und dabei die Zustimmung des Elternkontos vollständig zu umgehen. Nimmt das Kind den Anruf an, kann der Angreifer ohne die Zustimmung der Eltern heimlich mit ihm kommunizieren. In diesem Fall kann der Angreifer das Kind manipulieren , aus dem Haus locken oder es zu gefährlichen Handlungen anweisen.
Darüber hinaus könnten Sicherheitsprobleme der App auf dem Mobilgerät eines Elternteils es Angreifern ermöglichen, den Roboter fernzusteuern und sich unbefugten Zugriff auf das Netzwerk zu verschaffen. Mithilfe von Brute-Force-Methoden zur Wiederherstellung von OTP-Passwörtern und der Funktion zur unbegrenzten Anzahl fehlgeschlagener Anmeldeversuche könnte ein Angreifer den Roboter per Fernzugriff mit seinem eigenen Konto verknüpfen und so die Kontrolle des Besitzers über das Gerät sperren.
„Beim Kauf von Smart Toys ist es wichtig, nicht nur auf den Unterhaltungs- und Lernwert , sondern auch auf die Sicherheitsfunktionen zu achten“, so Nikolay Frolov, Senior Security Researcher bei Kaspersky ICS CERT. „Obwohl allgemein angenommen wird, dass höhere Preise auch höhere Sicherheit bedeuten, ist es wichtig zu beachten, dass selbst die teuersten Smart Toys nicht vollständig vor Schwachstellen geschützt sind, die Angreifer ausnutzen können. Daher sollten Eltern Spielzeugbewertungen sorgfältig lesen, Smart-Geräte stets auf dem neuesten Stand halten und die Spielaktivitäten ihrer Kinder genau beobachten.“
[Anzeige_2]
Quellenlink
Kommentar (0)