Есть три важных правила, которые нужно соблюдать владельцам интерактивных игрушек.
В «Лаборатории Касперского» обнаружили уязвимость в популярной умной детской игрушке. Исследование было представлено на MWC 2024, передает пресс-служба компании.
Лаборатория не стала называть конкретную модель игрушки, чтобы не подставлять производителя. Эксперты описали игрушку как интерактивное устройство на базе Android с дисплеем, микрофоном, камерой и колесами для передвижения. Робот мог включать игры-«обучалки», общаться с ребенком и связываться с родителями по видеосвязи.
Выяснилось, что перед первым использованием игрушки родителю нужно было подключить робота к смартфону через специальное приложение. При включении игрушка просит выбрать Wi-Fi, привязать робота к телефону взрослого и ввести имя и возраст ребенка. Ту-то и начались проблемы.
Какие проблемы обнаружили специалисты
Во-первых, информация о почте родителя и имени ребенка передавались на сервера производителя по устаревшему протоколу HTTP (без шифрования). Если производитель использовал бы протокол HTTPS, утечек можно было избежать.
Во-вторых, у игрушки не оказалось надежной защиты, которая бы спасала от слива данных пользователей. Не самый профессиональный мошенник мог запросто подключиться к роботу удаленно и узнать о владельцах все: IP-адрес, страну проживания, имя, пол и возраст ребенка. Также скамеры могли узнать номер телефона родителя и его почту.