«Лаборатория Касперского» нашла опасные уязвимости в умной игрушке для детей

Эксперты «Лаборатории Касперского» обнаружили ряд серьезных проблем безопасности в интерактивном роботе для детей, потенциально позволяющих злоумышленникам перехватывать информацию о ребенке, включая имя, возраст, пол, IP-адрес и местоположение, совершать видеозвонки ребенку без ведома родителей, удаленно захватить контроль над игрушкой.

Робот работает на базе Android, оснащен экраном, микрофоном, камерой и может передвигаться, предназначен для игр, обучения и общения. Ради безопасности эксперты не раскрывают название игрушки.

Обнаруженные уязвимости?

Передача данных в открытом виде: информация о ребенке передавалась по протоколу HTTP без шифрования.

Слабая аутентификация: некоторые API-запросы робота можно было выполнить, используя заведомо неправильный пароль.

Предсказуемый идентификатор: уникальный идентификатор робота состоял из короткого и предсказуемого набора символов.

Отсутствие проверки безопасности при видеозвонках: злоумышленники могли совершать видеозвонки ребенку без авторизации.

Возможность удаленного захвата: используя метод брутфорса, злоумышленник мог удаленно привязать робота к своему аккаунту.

«Лаборатория Касперского» уже уведомила производителя о найденных уязвимостях, и они были исправлены.

Источник: www.ferra.ru

0 0 голоса
Рейтинг новости
0
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии