Cette vulnérabilité permet aux pirates de contrôler le système robotisé pour discuter en vidéo avec des enfants sans le consentement des parents. De plus, les risques associés à l'utilisation de ce système robotisé ouvrent la voie à d'autres dangers, comme le vol des informations personnelles de l'enfant, comme son nom, son sexe, son âge et même sa localisation géographique.
Les jouets intelligents pourraient devenir la cible des pirates informatiques
Il s'agit d'un robot jouet pour enfants fonctionnant sous Android, équipé d'une caméra et d'un microphone. L'intelligence artificielle lui permet de reconnaître et de nommer les enfants, d'adapter automatiquement ses réponses à leur humeur et, au bout d'un certain temps, de les connaître. Pour exploiter pleinement ses fonctionnalités, les parents doivent télécharger l'application de contrôle sur leurs appareils mobiles. Cette application permet aux parents de suivre l'apprentissage de leur enfant et même de passer des appels vidéo avec lui via le robot.
Lors de la phase d'installation, les parents doivent connecter le robot à leur appareil mobile via Wi-Fi, puis saisir le nom et l'âge de l'enfant. Cependant, les experts de Kaspersky ont découvert un problème de sécurité préoccupant : l'interface de programmation d'applications (API) qui demande les informations sur l'enfant est dépourvue de fonction d'authentification, alors qu'il s'agit d'une vérification importante pour confirmer qui est autorisé à accéder aux ressources réseau de l'utilisateur.
Cela présente un risque que les cybercriminels puissent intercepter et voler un large éventail de données, notamment le nom, l’âge, le sexe, le pays de résidence et même l’adresse IP d’un enfant, en interceptant et en analysant la fréquence d’accès au réseau.
Cette vulnérabilité permet à un attaquant d'initier un appel vidéo en direct avec un enfant, en contournant complètement le consentement parental. Si l'enfant accepte l'appel, l'attaquant peut communiquer secrètement avec lui sans l'autorisation de ses parents. Dans ce cas, l'attaquant peut manipuler l'enfant, l'attirer hors de la maison ou lui ordonner d'accomplir des actes dangereux.
De plus, des problèmes de sécurité liés à l'application installée sur l'appareil mobile d'un parent pourraient permettre à un attaquant de contrôler le robot à distance et d'accéder au réseau sans autorisation. En utilisant des méthodes de force brute pour récupérer les mots de passe à usage unique (OTP) et la fonctionnalité de connexion illimitée, un attaquant pourrait lier le robot à distance à son propre compte, privant ainsi le propriétaire du contrôle de l'appareil.
« Lors de l'achat de jouets connectés, il est important de prendre en compte non seulement leur valeur ludique et éducative , mais aussi leurs fonctionnalités de sécurité », a déclaré Nikolay Frolov, chercheur senior en sécurité chez Kaspersky ICS CERT. « Si l'on pense généralement que des prix plus élevés sont synonymes de meilleure sécurité, il est important de noter que même les jouets connectés les plus chers ne sont pas totalement à l'abri des vulnérabilités exploitables par les pirates. Par conséquent, les parents doivent lire attentivement les avis sur les jouets, mettre à jour régulièrement les appareils connectés et surveiller de près les activités ludiques de leurs enfants. »
Lien source
Comment (0)