พบช่องโหว่ด้านความปลอดภัยในของเล่นอัจฉริยะสำหรับเด็ก

ช่องโหว่นี้ทำให้แฮกเกอร์สามารถควบคุมระบบหุ่นยนต์เพื่อ วิดีโอ แชทกับเด็ก ๆ ได้โดยไม่ต้องได้รับความยินยอมจากผู้ปกครอง ไม่เพียงเท่านั้น ความเสี่ยงที่เกี่ยวข้องกับการใช้งานระบบหุ่นยนต์นี้ยังเปิดช่องให้เกิดอันตรายอื่น ๆ อีกด้วย เช่น ข้อมูลส่วนบุคคลของเด็ก เช่น ชื่อ เพศ อายุ และแม้แต่ตำแหน่งที่ตั้งทางภูมิศาสตร์อาจถูกขโมย

Phát hiện lỗ hổng bảo mật trong đồ chơi thông minh của trẻ nhỏ- Ảnh 1. — ของเล่นอัจฉริยะอาจกลายเป็นเป้าหมายของแฮกเกอร์

นี่คือหุ่นยนต์ของเล่นเด็กที่ขับเคลื่อนด้วยระบบปฏิบัติการแอนดรอยด์ มาพร้อมกล้องและไมโครโฟน ใช้ปัญญาประดิษฐ์ในการจดจำและตั้งชื่อเด็ก ปรับการตอบสนองโดยอัตโนมัติตามอารมณ์ของเด็ก และหลังจากนั้นสักครู่ หุ่นยนต์จะรู้จักเด็ก เพื่อใช้ประโยชน์จากฟีเจอร์ต่างๆ ของหุ่นยนต์ได้อย่างเต็มที่ ผู้ปกครองจำเป็นต้องดาวน์โหลดแอปพลิเคชันควบคุมบนอุปกรณ์มือถือ แอปพลิเคชันนี้ช่วยให้ผู้ปกครองสามารถติดตามกระบวนการเรียนรู้ของเด็ก และสามารถสนทนาทางวิดีโอคอลกับเด็กผ่านหุ่นยนต์ได้

ในระหว่างขั้นตอนการตั้งค่า ผู้ปกครองจะได้รับคำแนะนำให้เชื่อมต่อหุ่นยนต์กับอุปกรณ์มือถือผ่าน Wi-Fi หลังจากนั้นจึงระบุชื่อและอายุของเด็กลงในอุปกรณ์ อย่างไรก็ตาม ผู้เชี่ยวชาญของ Kaspersky พบปัญหาด้านความปลอดภัยที่น่ากังวล นั่นคือ อินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชัน (Application Programming Interface) ที่ร้องขอข้อมูลเด็กขาดคุณสมบัติการตรวจสอบสิทธิ์ ซึ่งถือเป็นการตรวจสอบที่สำคัญเพื่อยืนยันว่าใครได้รับอนุญาตให้เข้าถึงทรัพยากรเครือข่ายของผู้ใช้

สิ่งนี้ก่อให้เกิดความเสี่ยงที่ผู้ก่ออาชญากรรมทางไซเบอร์จะสามารถดักจับและขโมยข้อมูลได้หลากหลายประเภท รวมถึงชื่อเด็ก อายุ เพศ ประเทศที่อยู่อาศัย และแม้แต่ที่อยู่ IP โดยการดักจับและวิเคราะห์ความถี่ในการเข้าถึงเครือข่าย

ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเริ่มการสนทนาทางวิดีโอสดกับเด็กได้ โดยหลีกเลี่ยงการยินยอมจากบัญชีผู้ปกครองโดยสิ้นเชิง หากเด็กรับสาย ผู้โจมตีสามารถสื่อสารกับเด็กอย่างลับๆ ได้โดยไม่ต้องได้รับอนุญาตจากผู้ปกครอง ในกรณีนี้ ผู้โจมตี สามารถบงการ เด็ก ล่อลวงเด็กออกจากบ้าน หรือสั่งให้เด็กทำสิ่งที่อันตรายได้

ยิ่งไปกว่านั้น ปัญหาด้านความปลอดภัยของแอปพลิเคชันบนอุปกรณ์มือถือของผู้ปกครองอาจทำให้ผู้โจมตีสามารถควบคุมหุ่นยนต์จากระยะไกลและเข้าถึงเครือข่ายโดยไม่ได้รับอนุญาตได้ ด้วยการใช้วิธีการบรูทฟอร์ซเพื่อกู้คืนรหัสผ่าน OTP และฟีเจอร์การเข้าสู่ระบบล้มเหลวแบบไม่จำกัดจำนวนครั้ง ผู้โจมตีสามารถเชื่อมโยงหุ่นยนต์เข้ากับบัญชีของตนเองจากระยะไกล ส่งผลให้เจ้าของไม่สามารถควบคุมอุปกรณ์ได้

“เมื่อซื้อของเล่นอัจฉริยะ สิ่งสำคัญคือต้องพิจารณาไม่เพียงแต่คุณค่าด้านความบันเทิงและ การศึกษา เท่านั้น แต่ยังรวมถึงคุณสมบัติด้านความปลอดภัยด้วย” นิโคไล โฟรลอฟ นักวิจัยด้านความปลอดภัยอาวุโสของ Kaspersky ICS CERT กล่าว “แม้ว่าโดยทั่วไปจะเข้าใจว่าราคาที่สูงขึ้นหมายถึงความปลอดภัยที่ดีขึ้น แต่สิ่งสำคัญคือต้องตระหนักว่าแม้แต่ของเล่นอัจฉริยะที่มีราคาแพงที่สุดก็ยังไม่ปลอดภัยจากช่องโหว่ที่ผู้โจมตีสามารถใช้ประโยชน์ได้ ดังนั้น ผู้ปกครองควรอ่านรีวิวของเล่นอย่างละเอียด อัปเดตอุปกรณ์อัจฉริยะให้เป็นเวอร์ชันล่าสุดอยู่เสมอ และติดตามกิจกรรมการเล่นของลูกๆ อย่างใกล้ชิด”

ลิงค์ที่มา