Эксперты «Лаборатории Касперского» обнаружили ряд серьезных проблем безопасности в интерактивном роботе для детей, потенциально позволяющих злоумышленникам перехватывать информацию о ребенке, включая имя, возраст, пол, IP-адрес и местоположение, совершать видеозвонки ребенку без ведома родителей, удаленно захватить контроль над игрушкой.
Робот работает на базе Android, оснащен экраном, микрофоном, камерой и может передвигаться, предназначен для игр, обучения и общения. Ради безопасности эксперты не раскрывают название игрушки.
Обнаруженные уязвимости?
Передача данных в открытом виде: информация о ребенке передавалась по протоколу HTTP без шифрования.
Слабая аутентификация: некоторые API-запросы робота можно было выполнить, используя заведомо неправильный пароль.
Предсказуемый идентификатор: уникальный идентификатор робота состоял из короткого и предсказуемого набора символов.
Отсутствие проверки безопасности при видеозвонках: злоумышленники могли совершать видеозвонки ребенку без авторизации.
Возможность удаленного захвата: используя метод брутфорса, злоумышленник мог удаленно привязать робота к своему аккаунту.
«Лаборатория Касперского» уже уведомила производителя о найденных уязвимостях, и они были исправлены.
Источник: www.ferra.ru
