이 취약점을 악용하여 해커는 부모의 동의 없이 로봇 시스템을 조작하여 아이들과 화상 채팅을 할 수 있습니다. 뿐만 아니라, 이 로봇 시스템 적용과 관련된 위험은 아이의 이름, 성별, 나이, 심지어 지리적 위치까지 포함한 개인 정보가 유출되는 등 다른 위험으로 이어질 수 있습니다.
스마트 장난감, 해커의 표적이 될 수도
이 로봇은 카메라와 마이크가 장착된 안드로이드 기반 어린이 장난감 로봇입니다. 인공지능을 활용하여 아이들을 인식하고 이름을 지어주고, 아이의 기분에 따라 자동으로 반응을 조절하며, 시간이 지나면서 로봇은 아이를 알아갑니다. 로봇의 기능을 최대한 활용하려면 부모는 모바일 기기에 제어 앱을 다운로드해야 합니다. 이 앱을 통해 부모는 아이의 학습 과정을 모니터링하고 로봇을 통해 아이와 화상 통화를 할 수 있습니다.
설정 단계에서 부모는 Wi-Fi를 통해 로봇을 모바일 기기에 연결한 후, 기기에 자녀의 이름과 나이를 제공해야 합니다. 그러나 카스퍼스키 전문가들은 우려스러운 보안 문제를 발견했습니다. 자녀 정보를 요청하는 애플리케이션 프로그래밍 인터페이스(API)에 인증 기능이 없는 것입니다. 이는 사용자 네트워크 리소스에 누가 접근할 수 있는지 확인하는 중요한 절차임에도 불구하고 말입니다.
사이버 범죄자들이 네트워크 접속 빈도를 가로채 분석함으로써 어린이의 이름, 나이, 성별, 거주 국가, 심지어 IP 주소까지 포함한 광범위한 데이터를 가로채고 훔칠 수 있다는 위험이 있습니다.
이 취약점을 악용하여 공격자는 부모 계정의 동의를 완전히 우회하여 자녀와 실시간 화상 통화를 시작할 수 있습니다. 자녀가 통화에 동의하면 공격자는 부모의 허락 없이 자녀와 비밀리에 소통할 수 있습니다. 이 경우 공격자는 자녀를조종하거나, 집 밖으로 유인하거나, 위험한 행동을 하도록 지시할 수 있습니다 .
더욱이, 부모의 모바일 기기에 설치된 앱의 보안 문제로 인해 공격자가 로봇을 원격으로 제어하고 네트워크에 무단으로 접근할 수 있습니다. 무차별 대입 공격을 통해 OTP 비밀번호를 복구하고 로그인 시도 횟수 제한을 없앰으로써, 공격자는 로봇을 자신의 계정에 원격으로 연결하여 소유자의 기기 제어를 무력화할 수 있습니다.
카스퍼스키 ICS CERT의 선임 보안 연구원인 니콜라이 프롤로프는 "스마트 장난감을 구매할 때는 엔터테인먼트 및 교육적 가치뿐만 아니라 안전 및 보안 기능도 고려해야 합니다."라고 말했습니다. "가격이 높을수록 보안이 강화된다는 일반적인 인식이 있지만, 아무리 고가의 스마트 장난감이라도 공격자가 악용할 수 있는 취약점으로부터 완전히 안전한 것은 아니라는 점을 유념해야 합니다. 따라서 부모는 장난감 리뷰를 꼼꼼히 읽고, 스마트 기기를 최신 버전으로 업데이트하고, 자녀의 놀이 활동을 면밀히 관찰해야 합니다."
[광고_2]
소스 링크
댓글 (0)