Kaspersky發佈了一篇玩具機器人中允許窺探的漏洞
智能玩具機器人是一種結合了智能手機、平板電腦和智能音箱的產品,可以通過語音命令和觸摸屏來控制,並且可以與孩子們互動和學習。這種玩具機器人看起來很可愛,也很有個性,但是它們是否真的安全呢?最近,卡巴斯基的專家發現了一款流行的玩具機器人存在多個嚴重的漏洞,這些漏洞可能讓惡意攻擊者通過視頻通話與玩具機器人聯繫,竊取家長的帳戶,甚至修改玩具機器人的固件。讓我們來看看這些漏洞是如何發現和分析的。
玩具機器人的功能和特點
這款玩具機器人是一種基於 Android 系統的產品,它的主要部分是一個大型的觸摸屏,可以顯示控制界面、互動學習應用和一個生動的卡通臉。它的表情會隨著情境而變化,開發者在這方面做得很好。您可以用語音命令來控制玩具機器人,但是有些功能不支持語音,所以有時候您必須抓住玩具機器人,並在屏幕上點擊。除了內置的麥克風和揚聲器,玩具機器人還有一個寬角攝像頭,位於屏幕的上方。廠商宣傳的一個重要功能是,家長可以通過玩具機器人與孩子進行視頻通話。在屏幕和輪子之間,有一個額外的光學物體識別傳感器,可以幫助玩具機器人避免碰撞。障礙物識別是完全獨立於主攝像頭的,所以開發者很貼心地增加了一個物理快門,可以完全遮蓋攝像頭。所以,如果您擔心有人可能通過攝像頭偷窺您和/或您的孩子,您可以簡單地關閉快門。而且,如果您擔心有人可能通過麥克風竊聽您,您可以直接關閉玩具機器人(根據它重新啟動的時間,這是一個真正的關機,而不是睡眠模式)。為了解鎖玩具機器人的全部功能,家長需要在自己的移動設備上下載一個應用。通過這個應用,家長可以跟蹤孩子的學習進度,甚至通過玩具機器人與孩子發起視頻通話。在初始設置的時候,家長需要將玩具機器人連接到 Wi-Fi 網絡,將它與自己的移動設備鏈接,然後提供孩子的姓名和年齡。在這個階段,卡巴斯基的專家發現了一個令人擔憂的安全問題:負責請求這些信息的 API(應用程序編程接口)缺乏身份驗證,這是一個確認誰可以訪問您的網絡資源的步驟。這可能讓惡意攻擊者攔截和訪問各種類型的數據,包括孩子的姓名、年齡、性別、居住國家,甚至他們的 IP 地址,只要通過攔截和分析網絡流量就可以做到。而且,這個漏洞還可以讓惡意攻擊者利用玩具機器人的攝像頭和麥克風,發起直接的視頻通話,繞過家長帳戶的授權。如果孩子接受了這個通話,攻擊者就可以秘密地與他們溝通,而不需要父母的同意。在這種情況下,攻擊者可能會操縱用戶,可能誘使他們離開安全的家庭,或者影響他們做出危險的行為。此外,家長的移動應用的安全問題也可能讓攻擊者遠程控制玩具機器人,並獲得未經授權的網絡訪問。通過使用暴力破解方法來恢復六位數的一次性密碼(OTP),並且沒有對失敗嘗試的限制,攻擊者可以遠程將玩具機器人鏈接到他自己的帳戶,從而使設備脫離其所有者的控制。
如何保護您和您的孩子
在購買智能玩具的時候,您不僅要考慮它們的娛樂和教育價值,還要優先考慮它們的安全和隱私特性。您應該選擇那些有良好的聲譽和信譽的廠商,並且在使用之前,檢查玩具機器人是否有最新的固件和應用更新。您還應該定期檢查玩具機器人的設置,並關閉不需要的功能,例如攝像頭、麥克風或網絡連接。當您不使用玩具機器人的時候,您可以關閉它,或者將它放在一個安全的地方,避免被他人濫用或盜用。如果您發現玩具機器人有任何異常的行為或反應,您應該立即停止使用它,並聯繫廠商或專業人員進行檢查和維修。
除了選擇和使用安全的玩具機器人之外,您還應該教育您的孩子,讓他們了解玩具機器人的正確和負責任的使用方法。您應該告訴他們,玩具機器人不是真正的朋友,而是一種工具,可以幫助他們學習和玩樂。您應該教導他們,不要對玩具機器人進行任何暴力或不尊重的行為,也不要相信玩具機器人的一切話語和建議。您應該提醒他們,不要向玩具機器人透露任何個人或敏感的信息,例如姓名、地址、密碼、銀行卡號等。您應該監督他們與玩具機器人的互動,並及時干預和指導,如果發現任何不適當或危險的情況,您應該立即終止他們與玩具機器人的聯繫,並向他們解釋原因和後果。
玩具機器人是一種新興的科技產品,它們有許多有趣和有益的功能,但也存在一些潛在的風險和挑戰。作為家長,您應該對玩具機器人有一個清晰和全面的了解,並且遵循一些購買和使用的建議,以確保您和您的孩子能夠安全和愉快地與玩具機器人互動。如果您想了解更多關於玩具機器人的安全問題和建議,您可以參考以下的網絡資源。
在購買智能玩具的時候,您不僅要考慮它們的娛樂和教育價值,還要優先考慮它們的安全和隱私特性。您應該選擇那些有良好的聲譽和信譽的廠商,並且在使用之前,檢查玩具機器人是否有最新的固件和應用更新。您還應該定期檢查玩具機器人的設置,並關閉不需要的功能,例如攝像頭、麥克風或網絡連接。當您不使用玩具機器人的時候,您可以關閉它,或者將它放在一個安全的地方,避免被他人濫用或盜用。如果您發現玩具機器人有任何異常的行為或反應,您應該立即停止使用它,並聯繫廠商或專業人員進行檢查和維修。
除了選擇和使用安全的玩具機器人之外,您還應該教育您的孩子,讓他們了解玩具機器人的正確和負責任的使用方法。您應該告訴他們,玩具機器人不是真正的朋友,而是一種工具,可以幫助他們學習和玩樂。您應該教導他們,不要對玩具機器人進行任何暴力或不尊重的行為,也不要相信玩具機器人的一切話語和建議。您應該提醒他們,不要向玩具機器人透露任何個人或敏感的信息,例如姓名、地址、密碼、銀行卡號等。您應該監督他們與玩具機器人的互動,並及時干預和指導,如果發現任何不適當或危險的情況,您應該立即終止他們與玩具機器人的聯繫,並向他們解釋原因和後果。
玩具機器人是一種新興的科技產品,它們有許多有趣和有益的功能,但也存在一些潛在的風險和挑戰。作為家長,您應該對玩具機器人有一個清晰和全面的了解,並且遵循一些購買和使用的建議,以確保您和您的孩子能夠安全和愉快地與玩具機器人互動。如果您想了解更多關於玩具機器人的安全問題和建議,您可以參考以下的網絡資源。
詳情請看: