(Adnkronos) -
Milano, 27 febbraio 2024 - I ricercatori di Kaspersky hanno scoperto che le vulnerabilità di un popolare robottino smart potrebbero rendere i bambini potenziali bersagli dei criminali informatici. Potrebbero, infatti, consentire agli hacker di prendere il controllo del sistema del giocattolo e di utilizzarlo in modo improprio per comunicare segretamente con i bambini tramite video chat senza il consenso dei genitori. I rischi associati all’applicazione del sistema robotico si estendono al pericolo di violare dati sensibili come nomi, sesso, età e persino la posizione degli utenti.
Un robot basato su Android e progettato per i bambini è dotato di videocamera e microfono integrati. Sfrutta l’intelligenza artificiale per riconoscere e interagire con i bambini, chiamandoli per nome, e per regolare le sue risposte in base all’umore del piccolo, familiarizzando gradualmente con lui nel corso del tempo. Per sfruttare appieno le potenzialità del giocattolo, i genitori devono scaricare sul proprio dispositivo mobile l’applicazione che gli permette di seguire i progressi del bambino nelle sue attività di apprendimento e persino di avviare una videochiamata con lui attraverso il robot.
Durante la configurazione iniziale, i genitori sono invitati a collegare il robot a una rete Wi-Fi, ad associarlo al proprio dispositivo mobile e a fornire nome ed età del bambino. In questa fase, gli esperti di Kaspersky hanno scoperto un problema di sicurezza: l’API (Application Programming Interface), responsabile dalla richiesta di queste informazioni, non prevede l’autenticazione, una procedura che conferma chi può accedere alle risorse di rete. Questo consente ai criminali informatici di intercettare e accedere a vari tipi di dati, tra cui nome, età, sesso, Paese di residenza e persino l’indirizzo IP, intercettando e analizzando il traffico di rete. Inoltre, questa falla consente ai cyber criminali di sfruttare la fotocamera e il microfono del robot per avviare chiamate dirette agli utenti, aggirando la richiesta di autorizzazione all’account dei tutori. Se il bambino accetta la chiamata, l’aggressore può comunicare con lui in modo segreto, senza il consenso dei genitori, con il rischio di manipolare l’utente, spingendolo a lasciare la sicurezza della proprio casa o a intraprendere comportamenti rischiosi.
Inoltre, i problemi di sicurezza dell’applicazione mobile potrebbero consentire a un aggressore di prendere il controllo del robot da remoto e ottenere un accesso non autorizzato alla rete. Utilizzando metodi di brute-force per recuperare la password a sei cifre (OTP) e senza limiti di tentativi falliti, un criminale informatico potrebbe collegare il robot al proprio account, sottraendo di fatto il dispositivo al controllo del proprietario.
“Quando si acquistano giocattoli smart, diventa indispensabile dare priorità non solo al loro valore ludico ed educativo, ma anche alle loro caratteristiche di sicurezza e protezione. Nonostante la convinzione comune che un prezzo più alto implichi una maggiore sicurezza, è essenziale capire che anche i giocattoli smart più costosi potrebbero non essere immuni da vulnerabilità che possono essere sfruttate dagli aggressori. Per questo motivo, i genitori devono esaminare con cura le recensioni dei giocattoli, aggiornare sempre il software dei dispositivi smart e controllare attentamente le attività dei loro figli durante il gioco”, ha commentato Nikolay Frolov, Senior Security Researcher di Kaspersky’s ICS CERT.
I risultati della ricerca sono stati presentati durante la sessione del panel intitolata “Empowering the Vulnerabile in the Digital Environment” al Mobile World Congress (MWC) 2024.
Il team di Kaspersky ha segnalato al produttore tutte le vulnerabilità scoperte, che ha prontamente provveduto a correggerle.
Per ulteriori informazioni è possibile consultare il report su Securelist.com.
Per proteggere tutti dispositivi smart, gli esperti di Kaspersky consigliano di:
• Aggiornare regolarmente il firmware e il software di tutti i dispositivi connessi, compresi i giocattoli smart. Questi aggiornamenti spesso contengono patch di sicurezza cruciali che risolvono le vulnerabilità note.
• Prima di acquistare un giocattolo smart o qualsiasi altro dispositivo connesso, è importante fare una ricerca sulla reputazione del produttore in materia di sicurezza e privacy. Scegliete dispositivi di brand affidabili che danno priorità alla sicurezza e forniscono aggiornamenti regolari.
• Controllare e limitare le autorizzazioni concesse alle app mobile associate al dispositivo smart. Fornire solo l’accesso necessario a funzioni e dati ed evitare di concedere permessi eccessivi.
• Spegnere il giocattolo smart quando non lo si usa per evitare la raccolta di dati. Se il dispositivo è dotato di microfono, è importare riporlo in un luogo difficile da raggiungere quando non è attivo e coprire o reindirizzare le telecamere quando non sono in uso.
• Usare una soluzione di sicurezza affidabile per proteggere l’intero ecosistema della smart home.
Informazioni su Kaspersky
Kaspersky è un’azienda globale di sicurezza informatica e digital privacy fondata nel 1997. Le profonde competenze in materia di Threat Intelligence e sicurezza si trasformano costantemente in soluzioni e servizi innovativi per proteggere aziende, infrastrutture critiche, governi e utenti in tutto il mondo. Il portfolio completo di sicurezza dell’azienda comprende una protezione leader degli endpoint e diverse soluzioni e servizi di sicurezza specializzati e soluzioni Cyber Immune, per combattere le sofisticate minacce digitali in continua evoluzione. Oltre 400 milioni di utenti sono protetti dalle tecnologie Kaspersky e aiutiamo 220.000 aziende a tenere al sicuro ciò che più conta per loro. Per ulteriori informazioni è possibile consultare https://www.kaspersky.it/
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://www.linkedin.com/company/kaspersky-lab-italia
https://www.instagram.com/kasperskylabitalia/
https://t.me/KasperskyItalia
Contatto di redazione:
kaspersky@noesis.net
www.kaspersky.it