Dětský robot s kamerou a mikrofonem může špehovat dítě, rodiče i zbytek domácnosti

Jedná se o případ, kdy se stalo z digitální pomůcky poměrně veliké riziko, jehož výsledkem je úplná ztráta soukromí i možné zneužití notebooků a počítačů.

iStock

Je až s podivem, co všechno jsou kyberzločinci schopni zneužít; někteří jsou vynelézaví, což se jim musí nechat – ale dnes aby se člověk opravdu bál používat cokoliv, co je připojeno k internetu. Server Kaspersky, který se zabývá bezpečnostní v on-line prostředí dlouhodobě, totiž upozornil na případ, kdy útočníci převzali kontrolu nad dětským robotem. Ten přitom slouží ke vzdálenému kontaktu s dítětem, s nímž může rodič mluvit i se mu ukázat.

Vymoženost pro rodiče, příležitost pro hackera

Je mi jasné, že mnozí odsoudí každého, kdo jde digitální době naproti, ale takový robot dokáže opravdu usnadnit mnoho činností, může fungovat jako vzdálený dohled, aniž byste museli dítě každou chvíli kontrolovat osobně atd. O tom se tu nicméně bavit nechci. Samotný robot, ačkoliv nebylo zmíněno, o jakého přesně jde, je podle uvedeného zdroje sofistikovaný „strážce“, a rovněž dokáže s dítětem interagovat a vzdělávat ho.

V podstatě se jedná o jakýsi tablet zasazený v těle robota, k němuž náleží i kamera, mikrofon a reproduktor, a celý se může pohybovat pomocí koleček. Někomu to možná připomíná kameru na sledování domácích mazlíčků, akorát, že tohle je o něco více „vytuněné“. Vedle toho má i senzor, aby nenarážel do překážek, který funguje nezávisle na kameře. Tu lze také díky tomu překrýt integrovanou krytkou, takže má rodič jistotu, že se nikdo neoprávněně nedívá.

Za napadení může slabé zabezpečení výrobce

Jak výše zmíněný server Kaspersky uvádí, výsledky zkoumání jsou takové, že útočníci mohou skrze robota uskutečňovat videohovory, odposlouchávat okolí, a případně mu i něco sdělovat. A to tak, že nejdříve získají k hračce přístup pomocí unikátního čísla (ID), které je 9místné, přičemž se některá čísla u všech vyrobených kusů shodují – ta zbylá lze odhadnout metodou pokus-omyl, neboť výrobce udělal stejnou chybu i v případě ID rodičovského účtu.

Jeho unikátní identifikační číslo lze totiž získat zasláním požadavku na server výrobce bez nějaké autentizace, tedy nikdo neověřuje, zda o něj žádá reálný vlastník. Samozřejmě je tu překážka, že musí útočník ID robota a ID účtu správně napárovat, ale na to lze dnes využít různých nástrojů, které to budou prostě zkoušet automaticky bez lidského zásahu.

Komu se přitom podařilo získat unikátní ID robota, dokázal ze serveru výrobce vytáhnout také osobní údaje jako IP adresu, zemi, jméno dítěte, pohlaví a věk, a stejně tak e-mailovou adresu nebo telefonné číslo rodiče. Díky tomu se poté mohl pokoušet o přihlášení do účtu, což je sice potřeba autentuzovat pomocí SMS kódu, jak ale Kaspersky podotkl, hacker se opět může pokusit o jako uhodnutí bez rizika zablokování, jelikož na to má neomezeně pokusů.

Následně by díky tomu mohl vzdáleně do robota nahrát vlastní systém a převzít nad ním úplnou kontrolu bez vědomí rodičů. Zaznamenávání obrazu i zvuků by pro něj tak bylo jednoduché, a ke všemu by bylo možné jeho prostřednictvím přistoupit i k dalším zařízením připojeným ve stejní Wi-Fi síti, a využít jejich výpočetní výkon třeba k těžbě kryptoměn.