Kaspersky’den yapılan açıklamaya nazaran, kelam konusu zafiyetler, bilgisayar korsanlarının oyuncağın sisteminin denetimini ele geçirmesine ve ebeveynin müsaadesi olmadan çocuklarla manzaralı sohbet yoluyla gizlice bağlantı kurmak için berbata kullanmasına imkan sağlayabileceğini gösteriyor.
Robot oyuncağın uygulamasıyla ilgili riskler, kullanıcıların isimleri, cinsiyetleri, yaşları ve hatta pozisyonları üzere çocukları tehlikeye atabilecek hassas detaylara kadar uzanıyor.
Dahili görüntü kamera ve mikrofonla donatılan çocuklar için tasarlanan kelam konusu Android tabanlı robot, çocukları isimleriyle tanımak ve onlarla etkileşime geçmek için yapay zekadan yararlanıyor. Robot, vakit içinde çocukların ruh haline nazaran reaksiyonlarını ayarlayarak arkadaşlığını ilerletiyor. Oyuncağın tüm potansiyelini ortaya çıkarmak için ebeveynlerin uygulamayı taşınabilir aygıtlarına indirmeleri gerekiyor. Bu uygulama aracılığıyla ebeveynler, çocuğun öğrenme faaliyetlerindeki ilerlemesini takip edebiliyor, hatta robot aracılığıyla çocukla görüntü görüşmesi bile başlatabiliyor.
Sistem açığı, robotu Wi-Fi ağına bağlama sonrasında ortaya çıktı
İlk heyetim sırasında ebeveynlerden oyuncağı bir Wi-Fi ağına bağlamaları, taşınabilir aygıtlarıyla temas kurmaları ve akabinde çocuğun ismini ve yaşını girmeleri isteniyor. Kaspersky uzmanları ise bu evrede telaş verici bir güvenlik sorunu olduğunu ortaya çıkardı. Bu bilgileri talep eden sorumlu API’nin (Uygulama Programlama Arayüzü), ağ kaynaklarına kimin erişebileceğini doğrulayan bir adım olan kimlik doğrulama uygulamasından mahrum olduğunu saptadı.
Bu durum, potansiyel olarak siber hatalıların ağ trafiğini ele geçirip tahlil ederek çocuğun ismi, yaşı, cinsiyeti, ikamet ettiği ülke ve IP adresi dahil olmak üzere çeşitli bilgi çeşitlerine erişmesine imkan tanıdı. Bu kusur, siber hatalıların robotun kamera ve mikrofonundan yararlanarak ve veli hesabına dair gerekli yetkilendirmeyi atlayarak kullanıcılarla direkt arama başlatmasını da sağladı.
Bir çocuk bu aramayı kabul ederse, saldırgan ebeveynlerin müsaadesi olmadan çocukla gizlice bağlantı kurabiliyor. Bu üzere durumlarda saldırganın kullanıcıyı manipüle ederek onu inançlı konut ortamından dışarı çekebileceği yahut riskli davranışlarda bulunmaya ikna edebileceği vurgulanıyor.
Ayrıca ebeveynin taşınabilir uygulamasındaki güvenlik sıkıntıları, bir saldırganın robotun denetimini uzaktan ele geçirmesine ve ağa yetkisiz erişim sağlamasına imkan tanıyabiliyor. Altı haneli tek seferlik parolayı (OTP) kurtarmak için zorla kestirim formüllerini kullanan ve başarısız denemeler için rastgele bir sınırlama getirmeyen bir saldırgan, robotu uzaktan kendi hesabına bağlayarak aygıtı sahibinin denetiminden çıkarma ve kendi denetimi altına alma ihtimallerine erişiyor.
Açıklamada görüşlerine yer verilen Kaspersky ICS CERT Kıdemli Güvenlik Araştırmacısı Nikolay Frolov, akıllı oyuncaklar satın alırken yalnızca cümbüş ve eğitim niteliklerine değil, tıpkı vakitte güvenlik ve emniyet özelliklerine de öncelik vermenin zarurî hale geldiğini belirtti.
Frolov, “Daha yüksek fiyat etiketinin daha fazla güvenlik manasına geldiği istikametindeki yaygın inanca karşın, en kıymetli akıllı oyuncakların bile saldırganların yararlanabileceği güvenlik açıklarına karşı bağışık olmayabileceğinin farkında olmak kıymetli. Bu nedenle ebeveynler, oyuncak incelemelerini dikkatle incelemeli, akıllı aygıt yazılımlarını güncelleme konusunda tetikte olmalı ve oyun vakti boyunca çocuklarının faaliyetlerini yakından denetlemeli.” tavsiyelerinde bulundu.
Robottaki güvenlik açığı kapatıldı
Ekibin kapsamlı araştırmasından elde edilen bulgular, Taşınabilir Dünya Kongresi (MWC) 2024’teki “Dijital Ortamda Savunmasızların Güçlendirilmesi” başlıklı panel oturumunda sunuldu. Kaspersky grubu, keşfettikleri tüm güvenlik açıklarını üreticiye bildirdi ve üretici, kelam konusu güvenlik açıklarını ortadan kaldıracak yamaları yayınladı.
Tüm akıllı aygıtları inançta tutmak ve korumak için Kaspersky uzmanları, aygıtları şimdiki tutmayı, satın almadan evvel araştırmayı, uygulama müsaadeleri konusunda dikkatli olmayı, aygıtı kullanılmadığında kapatılmasını ve sağlam güvenlik tahlilleri kullanılmasını öneriyor.