Des chercheurs de Kaspersky ont découvert que les vulnérabilités d'un robot-jouet connecté très populaire pourraient faire des enfants des cibles potentielles pour les cybercriminels. Ces failles pourraient permettre à des pirates de prendre le contrôle du système du jouet et de l'utiliser pour communiquer discrètement avec des enfants par chat vidéo sans qu’aucune autorisation de la part des parents ne soit nécessaire. Les risques associés à l'application du système du robot incluent des menaces de compromission de données sensibles telles que le nom, le sexe, l'âge et même la localisation des victimes.
Un robot Android conçu pour les enfants est équipé d'une caméra vidéo et d'un microphone intégrés. Il exploite l'intelligence artificielle pour reconnaître et interagir avec les enfants par leur nom et pour ajuster ses réponses en fonction de l'humeur de l'utilisateur, en se familiarisant progressivement avec lui au fil du temps. Pour exploiter tout le potentiel du jouet, les parents doivent télécharger l'application correspondante sur leur appareil mobile. Grâce à cette application, les parents peuvent suivre les progrès de l'enfant dans ses activités d'apprentissage et même lancer un appel vidéo avec lui par l'intermédiaire du robot.
Lors de la configuration initiale, les parents sont invités à connecter le jouet à un réseau Wi-Fi, à le relier à leur appareil mobile, puis à fournir le nom et l'âge de l'enfant. Au cours de cette phase, les experts de Kaspersky ont découvert un problème de sécurité préoccupant : l'API (interface de programmation d'applications) responsable de la demande de ces informations ne requiert pas d’authentification, l’étape qui permet de confirmer qui peut accéder aux ressources d’un réseau privé. Cela permet potentiellement aux cybercriminels d'intercepter et d'accéder à différents types de données, notamment le nom de l'enfant, son âge, son sexe, son pays de résidence et même son adresse IP, en interceptant et en analysant le trafic réseau. De plus, cette faille permet aux cybercriminels d'exploiter la caméra et le microphone du robot, et de lancer des appels directs aux utilisateurs, sans avoir à demander l’autorisation via le compte des tuteurs. Si un enfant accepte cet appel, un cyberpirate peut alors entrer en communication avec lui secrètement, sans le consentement des parents. Le cas échéant, l'attaquant peut chercher à manipuler la victime, l'attirer hors de la sécurité de son domicile ou l'inciter à adopter des comportements à risque.
En outre, les problèmes de sécurité liés à l'application mobile destinés aux parents peuvent permettre à un pirate de prendre le contrôle du robot à distance et d'obtenir un accès non autorisé au réseau. En utilisant des méthodes de force brute pour récupérer le mot de passe à six chiffres (OTP), et sans limite imposée concernant les tentatives de saisie infructueuses, un pirate pourrait relier à distance le robot à son propre compte, soutirant de fait le contrôle de l'appareil à son propriétaire.
« Lors de l'achat de jouets connectés, il est impératif de donner la priorité non seulement à leur valeur ludique et éducative, mais aussi à leurs caractéristiques en matière de sûreté et de sécurité. Malgré l'idée reçue selon laquelle un prix plus élevé implique une meilleure sécurité, il faut comprendre que même les jouets connectés les plus chers ne sont pas à l'abri de comporter des failles que les attaquants peuvent exploiter. C'est pourquoi les parents doivent examiner attentivement les avis sur les jouets, rester vigilants quant à la mise à jour des logiciels des appareils connectés et surveiller de près les activités de leurs enfants pendant les heures de jeu », indique Nikolay Frolov, chercheur principal en sécurité à l'ICS CERT de Kaspersky.
Les résultats des recherches approfondies de l'équipe ICS CERT sont présentés lors de la session du panel « Empowering the Vulnerable in the Digital Environment » se tenant le 27 février lors du Mobile World Congress (MWC) 2024.
L'équipe de Kaspersky a signalé toutes les vulnérabilités qu'elle a découvertes au fournisseur, qui les a rapidement corrigées.
Pour en savoir plus, consultez le site Securelist.
Pour que tous les appareils intelligents soient sécurisés et protégés, les experts de Kaspersky ont compilé les conseils suivants :
● Maintenez vos appareils à jour : mettez régulièrement à jour le micrologiciel et le logiciel de tous vos appareils connectés, y compris les jouets intelligents. Ces mises à jour contiennent souvent des correctifs de sécurité cruciaux qui corrigent les vulnérabilités connues.
● Faites des recherches avant d'acheter : avant d'acheter un jouet intelligent ou tout autre appareil connecté, renseignez-vous sur la réputation du fabricant en matière de sécurité et de protection de la vie privée. Choisissez des appareils de marques réputées qui accordent la priorité à la sécurité et proposent des mises à jour régulières.
● Soyez prudent avec les autorisations des applications : examinez et limitez les autorisations accordées aux applications mobiles associées à votre appareil intelligent. Ne donnez que l'accès nécessaire aux fonctions et aux données, et évitez d'accorder des privilèges excessifs.
● Éteignez-le lorsqu'il n'est pas utilisé : éteignez le jouet intelligent lorsqu'il n'est pas utilisé afin d'éviter la collecte de données. Si l'appareil est équipé d'un microphone, rangez-le dans un endroit difficile d'accès lorsqu'il n'est pas actif, et couvrez ou redirigez les caméras lorsqu'elles ne sont pas utilisées.
● Utilisez des solutions de sécurité fiables : utilisez une solution de sécurité fiable pour sécuriser et protéger l'ensemble de votre écosystème de maison intelligente.