Эксперты «Лаборатории Касперского» нашли уязвимости в умной детской игрушке

Специалисты из «Лаборатории Касперского» провели анализ умной детской игрушки, выполненной в формате робота на базе операционной системы Android.

Устройство обладает цветным экраном, микрофоном, видеокамерой и способностью к перемещению, что позволяет считать его своего рода «планшетом на колесах». Робот предназначен для игровых и обучающих целей, оснащён голосовым ассистентом, имеет доступ в интернет и может поддерживать связь с родителями через специализированные приложения на их смартфонах.

Для активации и первичной настройки необходимо связать игрушку с аккаунтом взрослого, используя мобильное приложение. На начальном этапе включения игрушка требует подключения к Wi-Fi, синхронизации с устройством родителя и ввода данных о ребенке.

Однако, эксперты обнаружили значительные проблемы в аспектах кибербезопасности. Первая заключается в том, что информация о ребенке изначально передавалась без защиты, посредством протокола HTTP, что теоретически позволяло злоумышленникам перехватывать её. После обновления прошивки робота проблема была решена переходом на защищённый протокол HTTPS.

Дополнительный риск кибербезопасности выявлен при анализе сетевых запросов: один из них передавал токен доступа к API, используя аутентификационные данные, включая имя пользователя и пароль. Уязвимость заключалась в том, что система выдавала токен даже при вводе заведомо неверного пароля, что представляет серьёзный риск безопасности данных.