Kaspersky: le vulnerabilità degli smart toy potrebbero mettere in pericolo i bambini

I ricercatori di Kaspersky hanno scoperto che le vulnerabilità di un popolare robottino smart potrebbero rendere i bambini potenziali bersagli dei criminali informatici. Potrebbero, infatti, consentire agli hacker di prendere il controllo del sistema del giocattolo e di utilizzarlo in modo improprio per comunicare segretamente con i bambini tramite video chat senza il consenso dei genitori.

Un robot basato su Android e progettato per i bambini è dotato di videocamera e microfono integrati. Sfrutta l’intelligenza artificiale per riconoscere e interagire con i bambini, chiamandoli per nome, e per regolare le sue risposte in base all’umore del piccolo, familiarizzando gradualmente con lui nel corso del tempo. Per sfruttare appieno le potenzialità del giocattolo, i genitori devono scaricare sul proprio dispositivo mobile l’applicazione che gli permette di seguire i progressi del bambino nelle sue attività di apprendimento e persino di avviare una videochiamata con lui attraverso il robot.

Durante la configurazione iniziale, i genitori sono invitati a collegare il robot a una rete Wi-Fi, ad associarlo al proprio dispositivo mobile e a fornire nome ed età del bambino. In questa fase, gli esperti di Kaspersky hanno scoperto un problema di sicurezza: l’API (Application Programming Interface), responsabile dalla richiesta di queste informazioni, non prevede l’autenticazione, una procedura che conferma chi può accedere alle risorse di rete. Questo consente ai criminali informatici di intercettare e accedere a vari tipi di dati, tra cui nome, età, sesso, Paese di residenza e persino l’indirizzo IP, intercettando e analizzando il traffico di rete. Inoltre, questa falla consente ai cyber criminali di sfruttare la fotocamera e il microfono del robot per avviare chiamate dirette agli utenti, aggirando la richiesta di autorizzazione all’account dei tutori. Se il bambino accetta la chiamata, l’aggressore può comunicare con lui in modo segreto, senza il consenso dei genitori, con il rischio di manipolare l’utente, spingendolo a lasciare la sicurezza della proprio casa o a intraprendere comportamenti rischiosi.

Inoltre, i problemi di sicurezza dell’applicazione mobile potrebbero consentire a un aggressore di prendere il controllo del robot da remoto e ottenere un accesso non autorizzato alla rete. Utilizzando metodi di brute-force per recuperare la password a sei cifre (OTP) e senza limiti di tentativi falliti, un criminale informatico potrebbe collegare il robot al proprio account, sottraendo di fatto il dispositivo al controllo del proprietario.