«Лаборатория Касперского» нашла опасные уязвимости в умной игрушке для детей

Робот работает на базе Android, оснащен экраном, микрофоном, камерой и может передвигаться, предназначен для игр, обучения и общения. Ради безопасности эксперты не раскрывают название игрушки.

Обнаруженные уязвимости?

Передача данных в открытом виде: информация о ребенке передавалась по протоколу HTTP без шифрования.

Слабая аутентификация: некоторые API-запросы робота можно было выполнить, используя заведомо неправильный пароль.

Предсказуемый идентификатор: уникальный идентификатор робота состоял из короткого и предсказуемого набора символов.

Отсутствие проверки безопасности при видеозвонках: злоумышленники могли совершать видеозвонки ребенку без авторизации.

Возможность удаленного захвата: используя метод брутфорса, злоумышленник мог удаленно привязать робота к своему аккаунту.

«Лаборатория Касперского» уже уведомила производителя о найденных уязвимостях, и они были исправлены.