カスペルスキーの研究者らは、子供たちがサイバー犯罪者の標的になる可能性のある、スマートおもちゃロボットの脆弱性を発見した。
この脆弱性により、ハッカーはロボットシステムを操作して、保護者の同意なしに子供とビデオチャットを行うことが可能です。さらに、このロボットシステムの適用に伴うリスクは、子供の名前、性別、年齢、さらには位置情報といった個人情報の盗難など、他の危険も引き起こします。
これはAndroid搭載の子供用おもちゃロボットで、カメラとマイクを搭載しています。人工知能(AI)を活用して子供を認識し、名前を付け、子供の気分に合わせて自動的に反応を調整します。そして、しばらくするとロボットは子供のことをよく理解するようになります。ロボットの機能を最大限に活用するには、保護者がモバイルデバイスに制御アプリケーションをダウンロードする必要があります。このアプリケーションを使用すると、保護者は子供の学習プロセスを監視したり、ロボットを介して子供とビデオ通話したりすることができます。
具体的には、カスペルスキーのエキスパートは、懸念されるセキュリティ問題を発見しました。それは、子供の情報を要求するアプリケーションプログラミングインターフェースに認証機能が欠けているというものです。これは、ユーザーのネットワークリソースへのアクセスが誰に許可されているかを確認するための重要なチェック機能です。これにより、サイバー犯罪者がネットワークアクセスの頻度を傍受して分析することで、子供の名前、年齢、性別、居住国、さらにはIPアドレスなど、さまざまなデータを盗むリスクが生じます。この脆弱性により、攻撃者は親のアカウントからの同意を完全に回避して、子供とのライブビデオ通話を開始できます。子供が通話を受け入れると、攻撃者は親の許可なく子供と密かに情報を交換できます。この場合、攻撃者は子供を操作したり、家から誘い出したり、子供に危険な行動をとらせたりすることができます。
さらに、保護者のモバイルデバイス上のアプリのセキュリティ上の問題により、攻撃者がロボットを遠隔操作し、ネットワークへの不正アクセスを行う可能性があります。ブルートフォース攻撃によるワンタイムパスワード(OTP)の取得や、ログイン失敗回数の制限を回避できる機能により、攻撃者はロボットを自身のアカウントに遠隔接続し、所有者によるデバイスの操作を無効化することが可能です。
スマートデバイスの安全性を確保するために、カスペルスキーの専門家は次のようなアドバイスを提供しています。
• テクノロジーデバイスを定期的にアップデートする:電子機器のハードウェアにプログラムされているファームウェアと、スマートトイを含むすべての接続デバイスのソフトウェアをアップデートしてください。これらのアップデートには、脆弱性を修正するための重要なセキュリティパッチが含まれていることがよくあります。
• 購入前に製品をリサーチする:スマート玩具やその他のコネクテッドデバイスを購入する前に、メーカーのセキュリティとプライバシー対策を徹底的に確認してください。評判の良いブランドのデバイスを選びましょう。セキュリティに重点を置き、定期的にアップデートを提供しているものが理想的です。
• アプリの権限には注意しましょう:モバイルアプリからスマートデバイスへのアクセスを確認し、制限しましょう。機能とデータへのアクセスのみを許可し、不要な権限は付与しないでください。
• 使用していないときは製品の電源を切る:データ漏洩を防ぐため、使用していないときはスマートトイの電源を切ってください。マイク付きのデバイスの場合は、使用していないときは手の届きにくい場所に保管するか、カバーをかけるか、カメラを別の場所に向けるなどしてください。
• 信頼できるセキュリティ ソリューションを使用する: 信頼できるセキュリティ ソリューションを使用して、スマート デバイスのエコシステム全体を保護します。
「スマート玩具を購入する際には、娯楽性や教育的価値だけでなく、安全性やセキュリティ機能も考慮することが重要です。そのため、保護者は玩具のレビューをよく読み、スマートデバイスを常に最新バージョンにアップデートし、お子様の遊びを注意深く監視する必要があります」と、Kaspersky ICS CERTのシニアセキュリティリサーチャー、ニコライ・フロロフ氏は述べています。
ビン・ラム
[広告2]
ソース
コメント (0)