I ricercatori di Kaspersky Lab hanno studiato un robot giocattolo e hanno scoperto una serie di pericolose vulnerabilità. Ad esempio, gli aggressori possono utilizzare la telecamera inserita in un giocattolo per comunicare con un bambino all’insaputa dei genitori.Il robot in questione, è un dispositivo interattivo basato su Android. Anche se i ricercatori non rivelano il nome dell’azienda produttrice, viene riferito che il robot è dotato di un grande schermo a colori, un microfono, una videocamera e può muoversi, essendo un cosiddetto “tablet su ruote”.
Le funzionalità del robot includono applicazioni di gioco ed educative per bambini, un assistente vocale, la capacità di accedere a Internet e comunicare con i genitori tramite applicazioni sui loro smartphone.
La scheda principale del giocattolo. Vista dall’alto
Prima di utilizzare il robot, è necessario collegarlo a un account. Per fare ciò, l’utente deve installare un’applicazione speciale. Quando lo accendi per la prima volta, il giocattolo ti chiede di selezionare una rete Wi-Fi, collegare il robot al dispositivo mobile del genitore e inserire il nome e l’età del bambino. Inoltre, quando lo accendi per la prima volta e ti connetti a Internet, il giocattolo richiede l’aggiornamento del software all’ultima versione e senza questo non funziona. Tuttavia, gli esperti hanno deciso di non aggiornare subito il firmware per vedere cosa si poteva imparare dalla versione precedente.
Advertising
La prima vulnerabilità riscontrata era che le informazioni sul bambino venivano trasmesse tramite HTTP in testo non crittografato. Cioè, in teoria, gli aggressori potevano intercettare questi dati utilizzando software per analizzare il traffico di rete. In questo caso, prima di aggiornare il firmware del robot alla versione corrente, è stato utilizzato il protocollo HTTP, dopo l’aggiornamento è stato utilizzato HTTPS.
Si è inoltre scoperto che non venivano effettuati controlli adeguati durante l’impostazione di una videochiamata. Per questo motivo, gli aggressori potrebbero utilizzare la fotocamera e il microfono del robot per chiamare i bambini senza l’autorizzazione dell’account di un genitore. In questo caso, se il bambino accettasse la chiamata, il malvagio potrebbe iniziare a comunicare con lui all’insaputa degli adulti.
Videochiamata in arrivo al robot
Inoltre, utilizzando la forza bruta per recuperare una password monouso di sei cifre (e senza alcun limite al numero di tentativi falliti), l’aggressore potrebbe collegare in remoto il robot al suo account invece che a quello del genitore. In questo caso, per ripristinare legittimamente la connessione, dovresti contattare il supporto tecnico.
Alla fine del rapporto, gli esperti sottolineano che “il fornitore ha contattato e accettato la responsabilità per tutti i problemi di sicurezza rilevati” segnalati da Kaspersky Lab. “L’azienda ha fornito le istruzioni necessarie e apportato le correzioni necessarie per garantire una protezione affidabile dei dati e impedire agli aggressori di utilizzare il giocattolo per altri scopi. Grazie agli sforzi degli sviluppatori, le opportunità per potenziali trasgressori sono state eliminate”, concludono i ricercatori.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella.
Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.