Le vulnerabilità di un robot giocattolo consentono di spiare gli utenti. È tutto vero

I nostri esperti hanno scoperto che un famoso robot giocattolo per bambini conteneva vulnerabilità che consentivano a utenti malintenzionati di effettuare videochiamate, rubare l’account dei genitori e modificare il firmware.

Gli esperti di Kaspersky hanno recentemente analizzato la sicurezza di un famoso modello di robot giocattolo, individuando importanti problemi che consentivano a utenti malintenzionati di effettuare una videochiamata a qualsiasi robot di questo tipo, violare l’account dei genitori o, potenzialmente, persino caricare firmware modificato. Continua a leggere per maggiori dettagli.

Cosa può fare un robot giocattolo

Il modello di robot giocattolo che abbiamo studiato è una sorta di ibrido tra uno smartphone/tablet e uno smart speaker su ruote, che gli consentono di muoversi. Il robot non ha arti, quindi rotolare per casa è la sua unica opzione per interagire fisicamente con l’ambiente circostante.

L’elemento centrale del robot è un ampio touchscreen in grado di visualizzare un’interfaccia utente di controllo, app di apprendimento interattive per bambini e un volto animato e dettagliato, in stile fumetto. Le sue espressioni facciali cambiano a seconda del contesto: va riconosciuto agli sviluppatori di aver fatto un ottimo lavoro sulla personalità del robot.

È possibile controllare il robot con i comandi vocali, ma alcune delle sue funzionalità non li supportano, quindi a volte è necessario prenderlo fisicamente e toccarne il volto con lo schermo integrato.

Oltre a un microfono integrato e a un altoparlante piuttosto rumoroso, il robot ha una fotocamera grandangolare posizionata appena sopra lo schermo. Una caratteristica chiave promossa dal produttore è la capacità per i genitori di videochiamare i propri figli direttamente attraverso il robot.

Sul lato anteriore, più o meno a metà tra lo schermo e le ruote, c’è un sensore ottico aggiuntivo di riconoscimento degli oggetti, che aiuta il robot a evitare di scontrarsi con ciò che lo circonda. Essendo il riconoscimento degli ostacoli totalmente indipendente dalla fotocamera principale, gli sviluppatori hanno aggiunto una funzionalità molto utile: un otturatore fisico che copre completamente quest’ultima.

Se quindi sei preoccupato che qualcuno possa spiare te e/o tuo figlio attraverso la fotocamera (non senza motivo, come vedremo in seguito), puoi semplicemente chiudere l’otturatore. Inoltre, se temi che qualcuno possa origliarti attraverso il microfono integrato, puoi spegnere il robot (e a giudicare dal tempo necessario per il riavvio, si tratta di un vero e proprio spegnimento, non di una modalità di sospensione).

Come prevedibile, è disponibile un’app per il controllo e il monitoraggio del giocattolo che i genitori possono utilizzare. Infine, come avrai intuito, è tutto connesso a Internet e viene utilizzata una serie di servizi cloud. Se sei interessato ai dettagli tecnici, puoi trovarli nella versione completa della ricerca sulla sicurezza, che abbiamo pubblicato su Securelist.

Come al solito, più il sistema è complesso, più è probabile che ci siano falle di sicurezza, che qualcuno potrebbe provare a sfruttare per fare qualcosa di sgradevole. E qui arriviamo al punto chiave di questo post: dopo aver studiato attentamente il robot, abbiamo individuato diverse gravi vulnerabilità.

Videochiamate non autorizzate

La prima cosa che abbiamo scoperto durante la nostra ricerca è stata che un utente malintenzionato poteva effettuare videochiamate a qualsiasi robot di questo tipo. Il server del produttore emetteva token per le sessioni video per chiunque avesse sia l’ID del robot che l’ID del genitore. L’ID del robot non era difficile da ottenere: ogni giocattolo aveva un ID di nove caratteri simile al numero di serie stampato sul corpo, con i primi due caratteri uguali per ogni unità. E l’ID del genitore può essere ottenuto inviando una richiesta con l’ID del robot al server del produttore senza alcuna autenticazione.

Pertanto, un utente malintenzionato che volesse chiamare un bambino a caso poteva provare a indovinare l’ID di un robot specifico o giocare a una chat-roulette chiamando ID casuali.

Violazione completa dell’account del genitore

Non finisce qui. Il sistema ingenuo permetteva a chiunque disponesse di un ID robot di recuperare molte informazioni personali dal server (indirizzo IP, paese di residenza, nome del bambino, sesso, età), insieme ai dettagli dell’account del genitore (indirizzo e-mail, numero di telefono e codice che collega l’app dei genitori al robot).

Questo, a sua volta, apriva la strada a un attacco molto più pericoloso: la completa violazione dell’account dei genitori. Un utente malintenzionato avrebbe dovuto eseguire solo pochi semplici passaggi:

  • Il primo era accedere all’account dei genitori dal proprio dispositivo utilizzando l’indirizzo e-mail o il numero di telefono ottenuto in precedenza. L’autorizzazione richiedeva l’invio di un codice monouso a sei cifre, ma i tentativi di accesso erano illimitati, quindi un banale attacco di forza bruta sarebbe stato sufficiente.
  • Bastava un clic per scollegare il robot dal vero account del genitore.
  • Il passo successivo sarebbe stato quello di collegarlo all’account dell’autore dell’attacco. La verifica dell’account si basava sul codice di collegamento menzionato in precedenza e il server lo inviava a tutti gli utenti.

Un attacco riuscito poteva rendere il robot del tutto inaccessibile da parte dei genitori, costringendoli a contattare l’assistenza tecnica per recuperare l’accesso. Anche in tal caso, l’autore dell’attacco poteva ripetere l’intero processo, perché tutto ciò di cui aveva bisogno era l’ID del robot, che rimaneva invariato.

Caricamento di firmware modificato

Infine, studiando il funzionamento dei vari sistemi del robot, abbiamo scoperto problemi di sicurezza con il processo di aggiornamento del software. I pacchetti di aggiornamento erano privi di una firma digitale e il robot installava un archivio di aggiornamenti appositamente formattato ricevuto dal server del produttore senza prima eseguire alcuna verifica.

Ciò offriva la possibilità di attaccare il server di aggiornamento, sostituire l’archivio con uno modificato e caricare firmware dannoso, che consentirebbe all’autore dell’attacco di eseguire comandi arbitrari con autorizzazioni di superutente su tutti i robot. In teoria, gli autori degli attacchi potevano assumere il controllo dei movimenti del robot, utilizzare le telecamere e i microfoni integrati per spiare l’utente, effettuare chiamate ai robot e così via.

Come proteggersi

Questa storia, però, ha un lieto fine. Abbiamo informato dei problemi gli sviluppatori del giocattolo, che hanno preso provvedimenti per risolverli. Tutte le vulnerabilità descritte sono state corrette.

Per concludere, ecco alcuni suggerimenti su come restare al sicuro durante l’utilizzo di vari dispositivi smart:

  • Ricorda che tutti i tipi di dispositivi smart, anche i giocattoli, in genere sono sistemi digitali altamente complessi, per cui spesso gli sviluppatori non riescono a garantire un’archiviazione sicura e affidabile dei dati degli utenti.
  • Quando acquisti un dispositivo, assicurati di leggere attentamente i feedback e le recensioni degli utenti e, idealmente, eventuali report sulla sicurezza disponibili.
  • Tieni presente che la semplice scoperta di vulnerabilità in un dispositivo non lo rende inferiore: i problemi possono essere rilevati ovunque. Quello a cui devi prestare attenzione è la risposta del produttore: se eventuali problemi sono stati risolti, è un buon segno. Se invece il produttore sembra non curarsene, non è una cosa positiva.
  • Per evitare di essere spiati o intercettati dai dispositivi smart, è possibile spegnerli quando non li si utilizza e chiudere l’otturatore o fissare del nastro adesivo sulla fotocamera.
  • Infine, ovviamente è importante proteggere tutti i dispositivi dei familiari con una soluzione di sicurezza affidabile. La violazione del sistema di un robot giocattolo è certamente una minaccia insolita, ma di questi tempi, la probabilità di imbattersi in altri tipi di minacce online è ancora molto alta.
Consigli