ثغرات أمنية فى الدمى الذكية تسمح لمجرمى الإنترنت بإجراء محادثة فيديو مع أطفالك

اكتشف باحثون في مركز الأبحاث الروسي كاسبرسكي أن نقاط الضعف الموجودة في دمية روبوتية ذكية شهيرة يمكن أن تجعل الأطفال أهدافًا محتملة لمجرمي الإنترنت. يمكن أن تسمح نقاط الضعف للمتسللين بالسيطرة على نظام اللعبة وإساءة استخدامه لإجراء اتصالات فيديو سرية مع الأطفال دون موافقة الوالدين. وتمتد المخاطر المرتبطة بالتطبيق أيضًا إلى… يخاطر نظام الروبوت بسرقة تفاصيل حساسة مثل اسم المستخدم والجنس والعمر وحتى المواقع الجغرافية.

تم تجهيز روبوت Android للأطفال بكاميرا فيديو وميكروفون مدمجين. ويستخدم الروبوت الذكاء الاصطناعي للتعرف على الأطفال بالاسم والتفاعل معهم وتعديل استجاباتهم بناء على الحالة المزاجية للطفل. كما أنه يتعلم شخصياتهم تدريجيًا مع مرور الوقت.

لإطلاق العنان للإمكانات الكاملة للدمية، يحتاج الآباء إلى تنزيل التطبيق على أجهزتهم المحمولة. ومن خلال هذا التطبيق، يمكن للوالدين تتبع تقدم الطفل في أنشطته التعليمية وحتى إجراء مكالمة فيديو مع الطفل عبر الروبوت.

أثناء الإعداد الأولي، يُطلب من الآباء توصيل الدمية بشبكة Wi-Fi، وربطها بجهازهم المحمول، ثم إضافة اسم الطفل وعمره. لكن خلال هذه المرحلة، اكتشف خبراء كاسبرسكي مشكلة أمنية مثيرة للقلق: واجهة برمجة التطبيقات (API) المسؤولة عن طلب هذه المعلومات مفقودة. لإجراء المصادقة، خطوة للتحقق من من يمكنه الوصول إلى موارد الشبكة الخاصة بك.

من المحتمل أن تسمح هذه المشكلة لمجرمي الإنترنت باعتراض أنواع مختلفة من البيانات والوصول إليها – بما في ذلك اسم الطفل وعمره وجنسه وبلد إقامته وحتى عنوان IP الخاص به – عن طريق اعتراض حركة مرور الشبكة وتحليلها.

علاوة على ذلك، يسمح هذا الخلل لمجرمي الإنترنت باستغلال كاميرا وميكروفون الروبوت، وإجراء مكالمات مباشرة للمستخدمين، وتجاوز التفويض المطلوب من حساب ولي الأمر، وإذا قبل الطفل هذه المكالمة، يمكن للمهاجم التواصل مع الطفل خلسة دون موافقة الوالدين.

في مثل هذه الحالات، يمكن للمهاجم التلاعب بالمستخدم، مما قد يؤدي إلى استدراجه للخروج من أمان منزله أو التأثير عليه للانخراط في سلوكيات محفوفة بالمخاطر. تسمح المشكلات الأمنية في تطبيق الهاتف المحمول الخاص بالوالد للمهاجم بالتحكم في الروبوت عن بُعد والحصول على وصول غير مصرح به إلى الشبكة.

مع عدم وجود عدد محدد من المحاولات الفاشلة، يمكن للمهاجم استخدام أساليب القوة الغاشمة لاكتشاف كلمة المرور المكونة من 6 أرقام (OTP) وربط الروبوت بحسابه الخاص عن بعد، مما يؤدي بشكل فعال إلى إخراج الجهاز من سيطرة مالكه.

تم عرض نتائج البحث الشامل للفريق خلال حلقة نقاش بعنوان “تمكين الفئات الضعيفة في البيئة الرقمية” في المؤتمر العالمي للجوال (MWC) 2024.

للحفاظ على أمان جميع أجهزتك الذكية وحمايتها، قام خبراء كاسبرسكي بتجميع النصائح التالية:

حافظ على تحديث أجهزتك: قم بتحديث نظام التشغيل والبرامج على جميع أجهزتك المتصلة بالإنترنت، بما في ذلك الألعاب الذكية، بانتظام. تحتوي هذه التحديثات غالبًا على تصحيحات أمان مهمة تعالج الثغرات الأمنية المعروفة.

ابحث قبل الشراء: قبل شراء دمية ذكية أو أي جهاز يتصل بالإنترنت، ابحث عن سمعة الشركة المصنعة فيما يتعلق بالأمان والخصوصية، واختر أجهزة من علامات تجارية حسنة السمعة تعطي الأولوية للأمان وتوفر تحديثات منتظمة.

كن حذرًا بشأن أذونات التطبيقات: قم بمراجعة وتقييد الأذونات الممنوحة لتطبيقات الهاتف المحمول المرتبطة بجهازك الذكي. السماح بالوصول إلى الميزات والبيانات فقط عند الضرورة، وتجنب منح امتيازات مفرطة.

قم بإيقاف تشغيل ما لا تستخدمه: قم بإيقاف تشغيل الدمى الذكية عندما لا تستخدمها لتجنب جمع البيانات، وإذا كان الجهاز يحتوي على ميكروفون، فقم بتخزينه في مكان لا يمكن الوصول إليه عند عدم استخدامه، وقم بتغطية أو إعادة توجيه أي كاميرات عندما لا تستخدمه.