Kaspersky’den yapılan açıklamaya göre, söz konusu zafiyetler, bilgisayar korsanlarının oyuncağın sisteminin kontrolünü ele geçirmesine ve ebeveynin izni olmadan çocuklarla görüntülü sohbet yoluyla gizlice iletişim kurmak için kötüye kullanmasına olanak sağlayabileceğini gösteriyor.
Robot oyuncağın uygulamasıyla ilgili riskler, kullanıcıların isimleri, cinsiyetleri, yaşları ve hatta konumları gibi çocukları tehlikeye atabilecek hassas ayrıntılara kadar uzanıyor.
Dahili video kamera ve mikrofonla donatılan çocuklar için tasarlanan söz konusu Android tabanlı robot, çocukları isimleriyle tanımak ve onlarla etkileşime geçmek için yapay zekadan yararlanıyor. Robot, zaman içinde çocukların ruh haline göre tepkilerini ayarlayarak arkadaşlığını ilerletiyor. Oyuncağın tüm potansiyelini ortaya çıkarmak için ebeveynlerin uygulamayı mobil cihazlarına indirmeleri gerekiyor. Bu uygulama aracılığıyla ebeveynler, çocuğun öğrenme faaliyetlerindeki ilerlemesini takip edebiliyor, hatta robot aracılığıyla çocukla video görüşmesi bile başlatabiliyor.
Sistem açığı, robotu Wi-Fi ağına bağlama sonrasında ortaya çıktı
İlk kurulum sırasında ebeveynlerden oyuncağı bir Wi-Fi ağına bağlamaları, mobil cihazlarıyla bağlantı kurmaları ve ardından çocuğun adını ve yaşını girmeleri isteniyor. Kaspersky uzmanları ise bu aşamada endişe verici bir güvenlik sorunu olduğunu ortaya çıkardı. Bu bilgileri talep eden sorumlu API’nin (Uygulama Programlama Arayüzü), ağ kaynaklarına kimin erişebileceğini doğrulayan bir adım olan kimlik doğrulama uygulamasından yoksun olduğunu saptadı.
Bu durum, potansiyel olarak siber suçluların ağ trafiğini ele geçirip analiz ederek çocuğun adı, yaşı, cinsiyeti, ikamet ettiği ülke ve IP adresi dahil olmak üzere çeşitli veri türlerine erişmesine olanak tanıdı. Bu kusur, siber suçluların robotun kamera ve mikrofonundan yararlanarak ve veli hesabına dair gerekli yetkilendirmeyi atlayarak kullanıcılarla doğrudan arama başlatmasını da sağladı.
Bir çocuk bu aramayı kabul ederse, saldırgan ebeveynlerin izni olmadan çocukla gizlice iletişim kurabiliyor. Bu gibi durumlarda saldırganın kullanıcıyı manipüle ederek onu güvenli ev ortamından dışarı çekebileceği veya riskli davranışlarda bulunmaya ikna edebileceği vurgulanıyor.
Ayrıca ebeveynin mobil uygulamasındaki güvenlik sorunları, bir saldırganın robotun kontrolünü uzaktan ele geçirmesine ve ağa yetkisiz erişim sağlamasına olanak tanıyabiliyor. Altı haneli tek seferlik parolayı (OTP) kurtarmak için zorla tahmin yöntemlerini kullanan ve başarısız denemeler için herhangi bir sınırlama getirmeyen bir saldırgan, robotu uzaktan kendi hesabına bağlayarak cihazı sahibinin kontrolünden çıkarma ve kendi kontrolü altına alma ihtimallerine erişiyor.
Açıklamada görüşlerine yer verilen Kaspersky ICS CERT Kıdemli Güvenlik Araştırmacısı Nikolay Frolov, akıllı oyuncaklar satın alırken sadece eğlence ve eğitim niteliklerine değil, aynı zamanda güvenlik ve emniyet özelliklerine de öncelik vermenin zorunlu hale geldiğini belirtti.
Frolov, “Daha yüksek fiyat etiketinin daha fazla güvenlik anlamına geldiği yönündeki yaygın inanca rağmen, en pahalı akıllı oyuncakların bile saldırganların yararlanabileceği güvenlik açıklarına karşı bağışık olmayabileceğinin farkında olmak önemli. Bu nedenle ebeveynler, oyuncak incelemelerini dikkatle incelemeli, akıllı cihaz yazılımlarını güncelleme konusunda tetikte olmalı ve oyun zamanı boyunca çocuklarının faaliyetlerini yakından denetlemeli.” tavsiyelerinde bulundu.
Robottaki güvenlik açığı kapatıldı
Ekibin kapsamlı araştırmasından elde edilen bulgular, Mobil Dünya Kongresi (MWC) 2024’teki “Dijital Ortamda Savunmasızların Güçlendirilmesi” başlıklı panel oturumunda sunuldu. Kaspersky ekibi, keşfettikleri tüm güvenlik açıklarını üreticiye bildirdi ve üretici, söz konusu güvenlik açıklarını ortadan kaldıracak yamaları yayınladı.
Tüm akıllı cihazları güvende tutmak ve korumak için Kaspersky uzmanları, cihazları güncel tutmayı, satın almadan önce araştırmayı, uygulama izinleri konusunda dikkatli olmayı, cihazı kullanılmadığında kapatılmasını ve güvenilir güvenlik çözümleri kullanılmasını öneriyor.