Scoperta vulnerabilità in un robottino giocattolo

La vulnerabilità è stata scoperta dagli esperti di Kaspersky in un robottino giocattolo basato su Android, destinato ai bambini, dotato di videocamera e microfono integrati che utilizza l’intelligenza artificiale per riconoscere e interagire con i bambini, chiamandoli per nome e adattando le sue risposte in base all’umore del bambino, stabilendo gradualmente una relazione con lui nel tempo. Per sfruttare appieno le funzionalità del giocattolo, i genitori devono scaricare un’applicazione sul proprio dispositivo mobile che consente loro di monitorare i progressi del bambino nelle attività di apprendimento e persino di avviare una videochiamata con lui tramite il robot.

Durante la fase di configurazione iniziale, i genitori sono guidati a connettere il robot a una rete Wi-Fi, ad associarlo al proprio dispositivo mobile e a inserire il nome e l’età del bambino. Tuttavia, gli esperti di Kaspersky hanno individuato un problema di sicurezza in questa procedura: l’API (Application Programming Interface) incaricata di richiedere tali informazioni non include un processo di autenticazione, che dovrebbe confermare l’identità degli utenti autorizzati ad accedere alle risorse di rete. Ciò permette ai criminali informatici di intercettare e ottenere vari tipi di dati, compresi nome, età, sesso, Paese di residenza e addirittura l’indirizzo IP, attraverso l’intercettazione e l’analisi del traffico di rete. Inoltre, questa vulnerabilità consente ai cybercriminali di utilizzare la fotocamera e il microfono del robot per avviare chiamate dirette agli utenti, eludendo la richiesta di autorizzazione da parte dei tutori dell’account. Se il bambino accetta la chiamata, il malintenzionato può comunicare con lui in modo clandestino, senza il consenso dei genitori, aumentando il rischio di manipolazione dell’utente e inducendolo a mettere a repentaglio la propria sicurezza domestica o ad adottare comportamenti pericolosi. Inoltre, i problemi di sicurezza dell’applicazione mobile potrebbero consentire a un aggressore di prendere il controllo del robot da remoto e ottenere un accesso non autorizzato alla rete. Utilizzando metodi di brute-force per recuperare la password a sei cifre (OTP) e senza limiti di tentativi falliti, un criminale informatico potrebbe collegare il robot al proprio account, sottraendo di fatto il dispositivo al controllo del proprietario.

“Quando si acquistano giocattoli smart, diventa indispensabile dare priorità non solo al loro valore ludico ed educativo, ma anche alle loro caratteristiche di sicurezza e protezione. Nonostante la convinzione comune che un prezzo più alto implichi una maggiore sicurezza, è essenziale capire che anche i giocattoli smart più costosi potrebbero non essere immuni da vulnerabilità che possono essere sfruttate dagli aggressori. Per questo motivo, i genitori devono esaminare con cura le recensioni dei giocattoli, aggiornare sempre il software dei dispositivi smart e controllare attentamente le attività dei loro figli durante il gioco”, ha commentato Nikolay Frolov, Senior Security Researcher di Kaspersky’s ICS CERT.

I risultati della ricerca sono stati presentati durante la sessione del panel intitolata “Empowering the Vulnerabile in the Digital Environment” al Mobile World Congress (MWC) 2024.
Il team di Kaspersky ha segnalato al produttore tutte le vulnerabilità scoperte, che ha prontamente provveduto a correggerle. Per ulteriori informazioni è possibile consultare il report su Securelist.com.

Leggi anche: “I pericoli dell’informatica spiegata ai bambini da Kaspersky“