«Лаборатория Касперского» нашла опасные уязвимости в умной игрушке для детей
Будьте бдительныРобот работает на базе Android, оснащен экраном, микрофоном, камерой и может передвигаться, предназначен для игр, обучения и общения. Ради безопасности эксперты не раскрывают название игрушки.
Обнаруженные уязвимости?
Передача данных в открытом виде: информация о ребенке передавалась по протоколу HTTP без шифрования.
Слабая аутентификация: некоторые API-запросы робота можно было выполнить, используя заведомо неправильный пароль.
Предсказуемый идентификатор: уникальный идентификатор робота состоял из короткого и предсказуемого набора символов.
Отсутствие проверки безопасности при видеозвонках: злоумышленники могли совершать видеозвонки ребенку без авторизации.
Возможность удаленного захвата: используя метод брутфорса, злоумышленник мог удаленно привязать робота к своему аккаунту.
«Лаборатория Касперского» уже уведомила производителя о найденных уязвимостях, и они были исправлены.