Τα παιδιά θα μπορούσαν να αποτελέσουν πιθανό στόχο κυβερνοεγκληματιών εξαιτίας ευπαθειών σε ένα δημοφιλές έξυπνο παιχνίδι που μοιάζει με ρομπότ, σύμφωνα με τους ερευνητές της Kaspersky. Οι ευπάθειες του παιχνιδιού θα μπορούσαν να επιτρέψουν στους χάκερς να πάρουν τον έλεγχο του συστήματος του παιχνιδιού και να το χρησιμοποιήσουν καταχρηστικά για να επικοινωνούν κρυφά με τα παιδιά μέσω video chat χωρίς τη γονική συγκατάθεση. Μεταξύ των κινδύνων που σχετίζονται με την εφαρμογή του συστήματος του ρομπότ είναι και η παραβίαση ευαίσθητων προσωπικών δεδομένων όπως το όνομα, το φύλο και η ηλικία των χρηστών, ακόμη και οι τοποθεσίες τους.
Ένα ρομπότ με λογισμικό Android που έχει σχεδιαστεί για παιδιά διαθέτει ενσωματωμένη βιντεοκάμερα και μικρόφωνο. Αξιοποιεί την τεχνητή νοημοσύνη για να αναγνωρίζει και να αλληλεπιδρά με τα παιδιά με το όνομά τους και να προσαρμόζει τις αντιδράσεις του ανάλογα με τη διάθεση του παιδιού, ενώ εξοικειώνεται σταδιακά μαζί τους με την πάροδο του χρόνου. Για να ξεκλειδώσουν όλες τις δυνατότητες του παιχνιδιού, οι γονείς πρέπει να κατεβάσουν την εφαρμογή στο κινητό τους. Μέσω αυτής της εφαρμογής, οι γονείς μπορούν να παρακολουθούν την πρόοδο του παιδιού με τις μαθησιακές του δραστηριότητες και ακόμη και να ξεκινήσουν μια βιντεοκλήση με το παιδί μέσω του ρομπότ.
Κατά την αρχική ρύθμιση, οι γονείς καλούνται να συνδέσουν το παιχνίδι σε ένα δίκτυο Wi-Fi, να το συνδέσουν με το κινητό τους και, στη συνέχεια, να καταχωρήσουν το όνομα και την ηλικία του παιδιού. Κατά τη διάρκεια αυτής της φάσης, οι ειδικοί της Kaspersky ανακάλυψαν ένα ανησυχητικό ζήτημα ασφάλειας: το υπεύθυνο API (Application Programming Interface) για την αίτηση αυτών των πληροφοριών δεν διαθέτει επιβολή ελέγχου ταυτότητας, ένα βήμα που επιβεβαιώνει ποιος μπορεί να έχει πρόσβαση στις πληροφορίες του δικτύου σας. Αυτό δυνητικά επιτρέπει στους κυβερνοεγκληματίες να υποκλέψουν και να αποκτήσουν πρόσβαση σε διάφορους τύπους δεδομένων – συμπεριλαμβανομένου του ονόματος, της ηλικίας, του φύλου, της χώρας διαμονής του παιδιού, ακόμη και της διεύθυνσης IP του – υποκλέπτοντας και αναλύοντας την κυκλοφορία του δικτύου. Επιπλέον, αυτή η ευπάθεια επιτρέπει στους κυβερνοεγκληματίες να εκμεταλλευτούν την κάμερα και το μικρόφωνο του ρομπότ, ξεκινώντας απευθείας κλήσεις προς τους ψηφιακούς χρήστες, παρακάμπτοντας την απαιτούμενη εξουσιοδότηση από τον λογαριασμό των κηδεμόνων. Εάν ένα παιδί δεχτεί αυτήν την κλήση, ένας εισβολέας μπορεί να επικοινωνήσει κρυφά, χωρίς τη συγκατάθεση των γονέων. Σε τέτοιες περιπτώσεις, ο εισβολέας θα μπορούσε να χειραγωγήσει τον χρήστη, ενδεχομένως παρασύροντάς τον έξω από την ασφάλεια του σπιτιού του ή επηρεάζοντάς τον σε επικίνδυνες συμπεριφορές.
Επιπλέον, η έλλειψη λειτουργίας ασφαλείας της εφαρμογής στο κινητό του γονέα μπορεί να επιτρέψει σε έναν εισβολέα να πάρει εξ αποστάσεως τον έλεγχο του ρομπότ και να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στο δίκτυο. Χρησιμοποιώντας μεθόδους brute-force για την ανάκτηση του εξαψήφιου κωδικού πρόσβασης μίας χρήσης (OTP) και χωρίς να υπάρχει επιβαλλόμενο όριο στις αποτυχημένες προσπάθειες, ένας εισβολέας θα μπορούσε να συνδέσει το ρομπότ εξ αποστάσεως με τον δικό του λογαριασμό, αφαιρώντας ουσιαστικά τον έλεγχο της συσκευής από τον ιδιοκτήτη της.
«Κατά την αγορά έξυπνων παιχνιδιών, είναι αναγκαίο να δοθεί προτεραιότητα όχι μόνο στην ψυχαγωγική και εκπαιδευτική τους αξία αλλά και στα χαρακτηριστικά ασφαλείας και προστασίας τους. Παρά την κοινή πεποίθηση ότι μια υψηλότερη τιμή συνεπάγεται και αυξημένη ασφάλεια, είναι σημαντικό να κατανοήσουμε ότι ακόμη και τα πιο ακριβά έξυπνα παιχνίδια μπορεί να μην έχουν ανοσία απέναντι σε ευπάθειες που μπορούν να εκμεταλλευτούν οι επιτιθέμενοι. Συνεπώς, οι γονείς πρέπει να εξετάζουν προσεκτικά τις κριτικές των παιχνιδιών, να παραμένουν σε εγρήγορση σχετικά με την ενημέρωση του λογισμικού των έξυπνων συσκευών και να επιβλέπουν στενά τις δραστηριότητες των παιδιών τους κατά τη διάρκεια του παιχνιδιού», σχολιάζει ο Nikolay Frolov, ανώτερος ερευνητής ασφάλειας στο ICS CERT της Kaspersky.
Η ομάδα της Kaspersky ανέφερε όλες τις ευπάθειες που ανακάλυψε στον προμηθευτή, ο οποίος τα επιδιόρθωσε αμέσως.
Μάθετε περισσότερα στο Securelist.com.
Για να διατηρήσετε όλες τις έξυπνες συσκευές ασφαλείς και προστατευμένες, οι ειδικοί της Kaspersky συμβουλεύουν:
- Διατηρείτε τις συσκευές σας ενημερωμένες: Ενημερώνετε τακτικά το firmware και το λογισμικό όλων των συνδεδεμένων συσκευών σας, συμπεριλαμβανομένων των έξυπνων παιχνιδιών. Αυτές οι ενημερώσεις συχνά περιέχουν κρίσιμες επιδιορθώσεις ασφαλείας που αντιμετωπίζουν γνωστές ευπάθειες.
- Κάντε έρευνα πριν από την αγορά: Πριν αγοράσετε ένα έξυπνο παιχνίδι ή οποιαδήποτε συνδεδεμένη συσκευή, ερευνήστε τη φήμη του κατασκευαστή όσον αφορά την ασφάλεια και την προστασία της ιδιωτικής ζωής. Επιλέξτε συσκευές από αξιόπιστες μάρκες που δίνουν προτεραιότητα στην ασφάλεια και παρέχουν τακτικές ενημερώσεις.
- Να είστε προσεκτικοί με τις άδειες χρήσης εφαρμογών: Ελέγξτε και περιορίστε τις άδειες που χορηγούνται σε εφαρμογές κινητής τηλεφωνίας που συνδέονται με την έξυπνη συσκευή σας. Παρέχετε μόνο την απαραίτητη πρόσβαση σε λειτουργίες και δεδομένα και αποφύγετε τη χορήγηση υπερβολικών προνομίων.
- Απενεργοποιήστε το όταν δεν το χρησιμοποιείτε: Απενεργοποιήστε το έξυπνο παιχνίδι όταν δεν χρησιμοποιείται για να αποτρέψετε τη συλλογή δεδομένων. Εάν η συσκευή διαθέτει μικρόφωνο, αποθηκεύστε το σε δυσπρόσιτο σημείο όταν δεν είναι ενεργό και καλύψτε ή ανακατευθύνετε τυχόν κάμερες όταν δεν χρησιμοποιούνται.
- Χρησιμοποιήστε αξιόπιστες λύσεις ασφαλείας: Χρησιμοποιήστε μια αξιόπιστη λύση ασφαλείας για να ενισχύσετε την προστασία ολόκληρου του οικοσυστήματος του έξυπνου σπιτιού σας.