Kaspersky tədqiqatçıları uşaqlar üçün interaktiv robotda potensial olaraq təcavüzkarlara valideynlərin xəbəri olmadan uşaqla ünsiyyət qurmaq üçün oyuncaqdakı kameradan istifadə etməyə imkan verə biləcək zəifliklər aşkar ediblər. Şirkətin mütəxəssisləri bu barədə istehsalçıya məlumat verib və hazırda həmin təhlükəsizlik problemlərini aradan qaldırılıb.
“APA-Economics” xəbər verir ki, Kaspersky-nin araşdırmasına əsasən mütəxəssislər tərəfindən daxili strukturu təhlil edilən robot Android əməliyyat sisteminə əsaslanan interaktiv cihazdır. O, böyük rəngli ekran, mikrofon, video kamera ilə təchiz olunub və hərəkət edə bilir – sözün əsl mənasında "təkərli planşet"dir. Robotun funksionalına uşaqlar üçün oyun və təhsil proqramları, səsli köməkçi, internetə çıxış və smartfonlarındakı proqramlar vasitəsilə valideynlərlə ünsiyyət qurmaq imkanları daxildir.
Robotdan istifadə etməzdən əvvəl onu böyüklərin hesabları ilə əlaqələndirmək lazımdır. Bunun üçün istifadəçi öz mobil cihazına xüsusi proqram quraşdırmalıdır. Onu ilk dəfə işə saldığınız zaman oyuncaq sizdən Wi-Fi şəbəkəsi seçməyi, valideynin mobil cihazı ilə bağlantı yaratmağı və uşağın adını və yaşını daxil etməyi istəyir.
Hansı boşluqlar aşkar edilib! Kibertəhlükəsizlik nöqteyi-nəzərindən ilk ciddi qüsur uşaq haqqında məlumatın HTTP protokolu vasitəsilə açıq mətnlə ötürülməsi olub. Beləliklə, nəzəri olaraq, təcavüzkarlar şəbəkə trafikinin təhlili proqramından istifadə edərək onu ələ keçirə bilərlər. Amma HTTP protokolu robotun proqram təminatını cari versiyaya yeniləməzdən əvvəl istifadə edilib; yenilənmədən sonra HTTPS istifadəsi dayandırılıb.
Mütəxəssislər bəzi şəbəkə sorğularını da araşdırıb və aşkar ediblər ki, onlardan biri aşağıdakı autentifikasiya məlumatlarına əsaslanaraq API giriş tokenini qaytarır: istifadəçi adı, şifrə və açar. Üstəlik, bu, sorğuda sərbəst simvollar dəstindən ibarət qəsdən səhv şifrə daxil edildiyi halda da baş verib.
Növbəti şəbəkə sorğusu unikal doqquz simvollu identifikatordan istifadə edən xüsusi robot üçün konfiqurasiya parametrlərini qaytarıb. Lakin bu simvollar toplusu qısa və proqnozlaşdırıla bilən olduğundan, təcavüzkarlar potensial olaraq onu tez bir zamanda götürə və nəticədə oyuncağın sahibi haqqında, o cümlədən IP ünvanı, yaşayış ölkəsi, adı, cinsi və yaşı haqqında məlumatı, həmçinin başqa bir sorğu ilə böyüklərin e-poçt ünvanı, telefon nömrəsi və mobil cihazını robotla əlaqələndirmək üçün kodu əldə edə bilərdilər.
Təcavüzkarlardan gələn zənglər. Video zəng seansını qurarkən lazımi təhlükəsizlik yoxlamaları mövcud olmayıb. Təcavüzkarlar valideynlərin hesabından verilən icazə olmadan uşaqlara zəng etmək üçün robotun kamerası və mikrofonundan istifadə edə bilərdilər. Bu vəziyyətdə, uşaq zəngi qəbul edərsə, arzuolunmaz şəxsi böyüklərin xəbəri olmadan onunla ünsiyyətə başlaya bilər.
Uzaqdan nəzarət. Altı rəqəmli birdəfəlik şifrəni bərpa etmək üçün “brute-force”-dan (şifrələrin tam ələ keçirilməsi) istifadə edərək və uğursuz cəhdlərin sayında heç bir məhdudiyyət olmadan təcavüzkar robotu valideynin hesabı əvəzinə öz hesabı ilə uzaqdan əlaqələndirə bilər. Bu halda, bağlantını qanuni şəkildə bərpa etmək üçün istehsalçının texniki dəstəyi ilə əlaqə saxlamaq lazımdır.
Kaspersky istehsalçıya təhlükəsizlik problemləri barədə məlumat verdikdən sonra onları aradan qaldırılıb.
“Ağıllı cihazlar alarkən onların təkcə əyləncə və təhsil funksiylarına deyil, həm də təhlükəsizlik səviyyəsinə diqqət yetirmək lazımdır. Bununla belə, qiymətə etibar etməməlisiniz - hətta ən bahalı ağıllı cihazlarda da təcavüzkarlar tərəfindən istifadə edilə bilən zəifliklər ola bilər. Valideynlərə ağıllı oyuncaqların icmallarını diqqətlə öyrənməyi, proqram yeniləmələri ilə bağlı xəbərləri izləməyi və mümkünsə, övladı belə qadcetlə əlaqə qurarkən onu nəzarətdə saxlamağı tövsiyə edirik”, - deyə Kaspersky ICS CERT-in baş elmi işçisi Nikolay Frolov bildirir.