市場には、Android オペレーティング システムで動作し、カメラとマイクを備えたタイプの子供用おもちゃロボットがあります。このおもちゃは人工知能（AI）を使って子どもを認識して名前を付け、子どもの気分に基づいて自動的に反応を調整し、時間が経つにつれて子どものことを知るようになる。

このロボットの機能を最大限に活用するには、保護者がモバイル デバイスに制御アプリケーションをダウンロードする必要があります。このアプリを使えば、保護者は子供の学習の進捗状況を監視できるほか、ロボットを通じて子供とビデオ通話もできる。

セットアッププロセス中に、保護者はロボットを Wi-Fi 経由でモバイル デバイスに接続する手順を案内され、デバイスに子供の名前と年齢を入力します。

セットアップ段階で、カスペルスキーの専門家は、子供の情報を要求する「アプリケーション プログラミング インターフェース」に認証がないという懸念すべきセキュリティ上の問題を発見しました。これは、ユーザーのネットワーク リソースへのアクセスを誰が許可されているかを確認するための重要なチェックです。

この脆弱性により、ハッカーはロボット システムを制御し、親のアカウントからの同意を完全に回避して、子供たちとのライブ ビデオ通話を開始できるようになります。子供が電話に出れば、悪者は子供と自由に秘密を交換し、子供を操ったり、家から誘い出したり、危険な行為をするように誘導したりすることができます。

さらに、このロボット システムの適用に伴うリスクには、名前、性別、年齢、さらには地理的位置を含む子供の個人情報が盗まれる可能性など、他の危険も伴います。

専門家は、保護者のモバイル機器上のアプリのセキュリティ問題により、攻撃者がロボットを遠隔操作し、ネットワークに不正アクセスする可能性があると指摘している。また、OTP パスワードを回復したり、ログイン試行の失敗回数を無制限に設定したり、ハッカーがロボットをリモートで自分のアカウントにリンクして所有者のデバイスの制御を無効にすることもできます。

「スマート玩具を購入する際には、娯楽性や教育的価値を考慮するだけでなく、安全性やセキュリティ機能にも注意を払うことが重要です」と、カスペルスキーICS CERTのシニアセキュリティ研究者、ニコライ・フロロフ氏は強調した。

「親は、どんなに高価なスマート玩具でも、攻撃者に悪用される脆弱性から完全に免れるわけではないことを認識すべきです。そのため、玩具のレビューを注意深く確認し、スマートデバイスを常に最新バージョンに更新し、子どもの遊びを注意深く監視する必要があります」と警告した。