La sicurezza dei dispositivi connessi è di fondamentale importanza, soprattutto quando si tratta di giocattoli intelligenti utilizzati dai più piccoli. Di recente, il team di Kaspersky ha rilevato vulnerabilità in un noto robot smart che potrebbero trasformare i minori in obiettivi indifesi per gli attacchi cyber. Queste falle di sicurezza, se sfruttate, potrebbero permettere agli hacker di assumere il comando del sistema del giocattolo, creando la possibilità di comunicazioni nascoste via videochat con i bambini, eludendo il consenso genitoriale. Oltre al rischio di interazioni indesiderate, vi è la preoccupante possibilità che informazioni delicate quali nomi, genere, età e persino localizzazione degli utenti possano essere compromesse.
Il robot basato su Android e progettato per i bambini è dotato di videocamera e microfono integrati. Sfrutta l’intelligenza artificiale per riconoscere e interagire con i bambini, chiamandoli per nome, e per regolare le sue risposte in base all’umore del piccolo, familiarizzando gradualmente con lui nel corso del tempo. Per sfruttare appieno le potenzialità del giocattolo, i genitori devono scaricare sul proprio dispositivo mobile l’applicazione che gli permette di seguire i progressi del bambino nelle sue attività di apprendimento e persino di avviare una videochiamata con lui attraverso il robot.
Durante la configurazione iniziale, i genitori sono invitati a collegare il robot a una rete Wi-Fi, ad associarlo al proprio dispositivo mobile e a fornire nome ed età del bambino. In questa fase, gli esperti di Kaspersky hanno scoperto un problema di sicurezza: l’API (Application Programming Interface), responsabile dalla richiesta di queste informazioni, non prevede l’autenticazione, una procedura che conferma chi può accedere alle risorse di rete. Questo consente ai criminali informatici di intercettare e accedere a vari tipi di dati, tra cui nome, età, sesso, Paese di residenza e persino l’indirizzo IP, intercettando e analizzando il traffico di rete. Inoltre, questa falla consente ai cyber criminali di sfruttare la fotocamera e il microfono del robot per avviare chiamate dirette agli utenti, aggirando la richiesta di autorizzazione all’account dei tutori. Se il bambino accetta la chiamata, l’aggressore può comunicare con lui in modo segreto, senza il consenso dei genitori, con il rischio di manipolare l’utente, spingendolo a lasciare la sicurezza della proprio casa o a intraprendere comportamenti rischiosi.
Inoltre, i problemi di sicurezza dell’applicazione mobile potrebbero consentire a un aggressore di prendere il controllo del robot da remoto e ottenere un accesso non autorizzato alla rete. Utilizzando metodi di brute-force per recuperare la password a sei cifre (OTP) e senza limiti di tentativi falliti, un criminale informatico potrebbe collegare il robot al proprio account, sottraendo di fatto il dispositivo al controllo del proprietario.
“Quando si acquistano giocattoli smart, diventa indispensabile dare priorità non solo al loro valore ludico ed educativo, ma anche alle loro caratteristiche di sicurezza e protezione. Nonostante la convinzione comune che un prezzo più alto implichi una maggiore sicurezza, è essenziale capire che anche i giocattoli smart più costosi potrebbero non essere immuni da vulnerabilità che possono essere sfruttate dagli aggressori. Per questo motivo, i genitori devono esaminare con cura le recensioni dei giocattoli, aggiornare sempre il software dei dispositivi smart e controllare attentamente le attività dei loro figli durante il gioco”, ha commentato Nikolay Frolov, Senior Security Researcher di Kaspersky’s ICS CERT.