Các chuyên gia tại Kaspersky đã phát hiện ra các lỗ hổng trong robot đồ chơi thông minh, có thể khiến trẻ em trở thành mục tiêu của tội phạm mạng. Những lỗ hổng này cho phép tin tặc kiểm soát hệ thống robot để thực hiện cuộc trò chuyện video với trẻ em mà không cần sự đồng ý của phụ huynh. Điều đáng lo ngại hơn, các rủi ro liên quan đến ứng dụng của robot này còn mở ra các nguy cơ khác, như việc thông tin cá nhân của trẻ bao gồm tên, giới tính, tuổi và thậm chí cả vị trí địa lý có thể bị đánh cắp.
Một loại robot đồ chơi dành cho trẻ em chạy hệ điều hành Android, được trang bị camera và micro, sử dụng trí tuệ nhân tạo để nhận dạng, gọi tên trẻ em, tự động điều chỉnh phản hồi dựa trên tâm trạng của trẻ và sau một thời gian, robot sẽ tạo mối quan hệ với trẻ. Để sử dụng đầy đủ tính năng của robot, phụ huynh cần tải ứng dụng điều khiển trên thiết bị di động. Ứng dụng này cho phép cha mẹ theo dõi quá trình học tập của trẻ và thậm chí thực hiện cuộc gọi video với trẻ thông qua robot.
Trong quá trình thiết lập, cha mẹ được hướng dẫn kết nối robot với thiết bị di động của mình thông qua Wi-Fi, sau đó cung cấp tên và tuổi của trẻ cho thiết bị. Tuy nhiên, chuyên gia của Kaspersky đã phát hiện ra một vấn đề bảo mật đáng lo ngại: Giao diện Lập trình Ứng dụng (API) yêu cầu thông tin trẻ mà không có tính năng xác thực, trong khi đây là bước kiểm tra quan trọng để xác minh người được phép truy cập vào mạng của người dùng.
Việc này có thể tạo ra rủi ro về tội phạm mạng bằng cách can thiệp và đánh cắp nhiều loại thông tin cá nhân của trẻ em như tên, tuổi, giới tính, quốc gia cư trú và thậm chí là địa chỉ IP thông qua việc ngăn chặn và phân tích tần suất truy cập internet. Lỗ hổng này cho phép kẻ xấu kích hoạt cuộc gọi video trực tiếp với trẻ mà không cần sự đồng ý từ phụ huynh. Nếu trẻ trả lời cuộc gọi, kẻ tấn công có thể trao đổi thông tin riêng tư với trẻ mà không cần sự cho phép từ phụ huynh. Trong trường hợp này, kẻ tấn công có thể thao túng, dụ dỗ trẻ rời khỏi nhà hoặc hướng dẫn trẻ thực hiện các hành vi nguy hiểm.
Ngoài ra, vấn đề an ninh của ứng dụng trên điện thoại di động của phụ huynh có thể mở cửa cho tin tặc điều khiển robot từ xa và xâm nhập vào hệ thống mạng không đúng pháp luật. Bằng cách sử dụng kỹ thuật brute-force để khôi phục mật khẩu OTP và tính năng cho phép đăng nhập không hạn chế số lần thất bại, tin tặc có thể liên kết robot với tài khoản của mình từ xa, từ đó vô hiệu hóa khả năng kiểm soát thiết bị của chủ sở hữu.
Theo ông Nikolay Frolov - chuyên gia nghiên cứu an ninh cao cấp của Kaspersky ICS CERT, khi mua đồ chơi thông minh, không chỉ quan trọng về mục đích giải trí và giáo dục mà còn cần chú ý đến tính an toàn và bảo mật của chúng. Mặc dù việc chi trả một số tiền lớn thường đi kèm với mức độ bảo mật cao hơn, nhưng cần nhớ rằng ngay cả những sản phẩm đồ chơi thông minh đắt tiền nhất cũng không hoàn toàn miễn nhiễm với các lỗ hổng mà kẻ tấn công có thể tận dụng. Vì vậy, phụ huynh cần xem xét kỹ các đánh giá về đồ chơi, luôn cập nhật phiên bản mới nhất cho các thiết bị thông minh và theo dõi chặt chẽ hoạt động chơi của trẻ em.
Đây là những phát hiện mà các chuyên gia của Kaspersky đã chia sẻ trong buổi thảo luận "Bảo vệ những người dễ bị tổn thương trong môi trường số hóa" tại triển lãm công nghệ Mobile World Congress (MWC) 2024. Hiện tại, đội ngũ Kaspersky đã nhanh chóng báo cáo tất cả các lỗ hổng cho nhà sản xuất để được vá lại.
Để bảo đảm an toàn cho các thiết bị thông minh, các chuyên gia khuyến cáo:
Đề xuất cập nhật thường xuyên cho thiết bị công nghệ: Việc cập nhật firmware và software trên tất cả các thiết bị kết nối, kể cả đồ chơi thông minh, là rất quan trọng. Những bản cập nhật này thường bao gồm các bản vá bảo mật quan trọng để khắc phục các lỗ hổng.
Trước khi mua sản phẩm, cần tiến hành nghiên cứu kỹ lưỡng: Kiểm tra mức độ bảo mật và quyền riêng tư của nhà sản xuất trước khi mua đồ chơi thông minh hoặc bất kỳ thiết bị kết nối nào. Ưu tiên lựa chọn sản phẩm từ các thương hiệu uy tín, đặc biệt là những thương hiệu coi trọng vấn đề bảo mật và cung cấp các bản cập nhật định kỳ.
Cẩn thận khi ủy quyền truy cập cho ứng dụng: Xem xét và hạn chế quyền truy cập của các ứng dụng di động trên thiết bị thông minh. Chỉ ủy quyền truy cập cho các tính năng và dữ liệu cần thiết, tránh cấp các đặc quyền không cần thiết.
- Để tránh rò rỉ dữ liệu, hãy tắt nguồn đồ chơi thông minh khi không sử dụng. Nếu thiết bị có micro, hãy bảo quản ở nơi khó tiếp cận và che camera khi không sử dụng.
- Áp dụng phương pháp bảo mật đáng tin cậy: Sử dụng phương pháp bảo mật tin cậy để bảo vệ toàn bộ hệ sinh thái thiết bị thông minh của người dùng.