Phát hiện lỗ hổng bảo mật trong đồ chơi thông minh cho trẻ em

Các nhà nghiên cứu bảo mật của Kaspersky đã phát hiện ra các lỗ hổng trong robot đồ chơi thông minh, có thể biến trẻ em trở thành mục tiêu cho tội phạm mạng.

Những lỗ hổng bảo mật trên các thiết bị thông minh

Trên thị trường xuất hiện một loại robot đồ chơi trẻ em và đang rất được nhiều phụ huynh mua cho con. Loại đồ chơi này sử dụng hệ điều hành Android, có trang bị camera và micro, tận dụng trí tuệ nhân tạo để nhận dạng, gọi tên trẻ, tự động điều chỉnh phản hồi dựa trên tâm trạng của trẻ và sau một thời gian nó sẽ làm quen với trẻ.

Để khai thác hết các tính năng của loại robot này, phụ huynh cần tải xuống ứng dụng điều khiển trên thiết bị di động. Ứng dụng này cho phép cha mẹ theo dõi quá trình học tập của trẻ và thậm chí thực hiện cuộc gọi video với trẻ thông qua robot.

Quá trình cài đặt, phụ huynh được hướng dẫn kết nối Wi-Fi giữa robot với thiết bị di động và sau đó họ sẽ cung cấp tên, tuổi của trẻ cho thiết bị.

Giai đoạn thiết lập trên, các chuyên gia Kaspersky phát hiện ra một vấn đề bảo mật đáng lo ngại khi "Giao diện Lập trình Ứng dụng" yêu cầu thông tin trẻ lại thiếu tính năng xác thực, mặc dù đây là bước kiểm tra quan trọng để xác nhận ai được phép truy cập vào nguồn mạng của người dùng.

Lỗ hổng này cho phép tin tặc kiểm soát hệ thống robot để trò chuyện qua video với trẻ em mà không cần có sự đồng ý của cha mẹ. Đi kèm với đó, ứng dụng của hệ thống robot còn mở ra các mối nguy hiểm khác, như lộ, lọt thông tin cá nhân của trẻ gồm tên, giới tính, độ tuổi và thậm chí cả vị trí địa lý cũng có thể bị đánh cắp.

Sau một thời gian, robot sẽ làm quen với "chủ nhân" của mình. Để khai thác hết các tính năng của loại đồ chơi thông minh này, phụ huynh cần tải xuống ứng dụng điều khiển trên thiết bị di động, giúp theo dõi quá trình học tập của trẻ và hay thực hiện gọi video qua robot.

Các lỗ hổng bảo mật trên các thiết bị thông minh là thời cơ cho bọn tội phạm mạng. Ảnh: Kaspersky

Các lỗ hổng bảo mật trên các thiết bị thông minh là thời cơ cho bọn tội phạm mạng. Ảnh: Kaspersky

Ở giai đoạn thiết lập, phụ huynh được hướng dẫn kết nối robot với thiết bị di động của họ thông qua Wi-Fi, cung cấp tên và tuổi của trẻ cho thiết bị. Tuy nhiên, các chuyên gia Kaspersky đã phát hiện ra một vấn đề bảo mật đáng lo ngại: Giao diện lập trình ứng dụng (Application Programming Interface - API) yêu cầu thông tin trẻ lại thiếu tính năng xác thực, trong khi đây là bước kiểm tra quan trọng để xác nhận ai được phép truy cập vào nguồn mạng của người dùng.

Điều này tiềm ẩn nguy cơ tội phạm mạng can thiệp và đánh cắp nhiều loại dữ liệu, bao gồm tên, tuổi, giới tính, quốc gia cư trú và thậm chí cả địa chỉ IP nơi trẻ sống bằng cách ngăn chặn và phân tích tần suất truy cập mạng.

Lỗ hổng này cho phép kẻ gian kích hoạt cuộc gọi video trực tiếp với trẻ, hoàn toàn bỏ qua sự đồng ý từ tài khoản của cha mẹ. Nếu cuộc gọi được chấp nhận, kẻ tấn công có thể trao đổi bí mật với trẻ mà không có sự quản lý của phụ huynh, người giám hộ, từ đó dụ dỗ trẻ ra khỏi nhà hoặc xúi giục, hướng dẫn trẻ em thực hiện các hành vi nguy hiểm.

Ngoài ra, vấn đề bảo mật của ứng dụng cài trên thiết bị di động của cha mẹ có thể cho phép kẻ tấn công điều khiển robot từ xa và truy cập vào mạng trái phép, vô hiệu hóa quyền truy cập của chính chủ sở hữu. Phát hiện trên được các chuyên gia của Kaspersky chia sẻ trong phiên thảo luận “Bảo vệ những người dễ bị tổn thương trong môi trường kỹ thuật số” tại Triển lãm công nghệ toàn cầu 2024 (Mobile World Congress).

Những cảnh báo, lời khuyên của chuyên gia

Ông Nikolay Frolov, nhà nghiên cứu bảo mật cấp cao của Kaspersky ICS CERT nói: “Khi mua đồ chơi thông minh, điều quan trọng không chỉ là tính giải trí và giáo dục của chúng, mà ta nên để tâm đến cả các tính năng an toàn và bảo mật. Dù quan điểm chung là giá cao đồng nghĩa bảo mật tốt hơn, phụ huynh vẫn cần lưu ý ngay cả những loại đồ chơi thông minh đắt tiền nhất cũng không hoàn toàn miễn nhiễm với các lỗ hổng mà kẻ tấn công có thể lợi dụng. Do đó, cha mẹ phải xem kỹ những đánh giá về đồ chơi, luôn cập nhật phiên bản mới nhất cho các thiết bị thông minh và giám sát chặt chẽ các hoạt động vui chơi của trẻ”.

Để đảm bảo an toàn cho các thiết bị thông minh, các chuyên gia an ninh mạng đã đưa ra những lời khuyên: Thường xuyên cập nhật phần mềm được lập trình trên phần cứng của thiết bị điện tử (firmware) và phần mềm (software) cho tất cả các thiết bị được kết nối, bao gồm cả đồ chơi thông minh. Các bản cập nhật này thường chứa các bản vá bảo mật quan trọng để khắc phục các lỗ hổng.

Phụ huynh cũng cần kiểm tra kỹ lưỡng về mức độ bảo mật và quyền riêng tư của nhà sản xuất trước khi mua đồ chơi thông minh hoặc bất kỳ thiết bị kết nối nào. Chọn thiết bị từ các thương hiệu uy tín, ưu tiên các thương hiệu chú trọng bảo mật và cung cấp các bản cập nhật thường xuyên.

Ngoài ra, phụ huynh cũng cần thận trọng với việc trao quyền truy cập cho ứng dụng. Cụ thể, nên xem xét và giới hạn quyền truy cập của các ứng dụng di động cho các thiết bị thông minh; chỉ cấp quyền truy cập cho các tính năng, dữ liệu và hạn chế cấp các đặc quyền không cần thiết.

Tắt nguồn sản phẩm khi không sử dụng để ngăn chặn việc rò rỉ dữ liệu. Nếu thiết bị có micro, hãy cất giữ ở nơi khó tiếp cận, che hoặc hướng camera đi hướng khác khi không sử dụng. Cuối cùng, nên sử dụng giải pháp bảo mật đáng tin cậy.

Bên cạnh đó, chất liệu đồ chơi không an toàn sẽ ảnh hưởng trực tiếp đến sức khoẻ của các bé. Sau nhiều bài khuyến cáo trên các phương tiện thông tin đại chúng cảnh báo các mặt hàng đồ chơi độc hại, nhiều phụ huynh đã chú ý hơn tới chất liệu và nguồn gốc, xuất xứ, công dụng của các mặt hàng đồ chơi.

Các chuyên gia cũng khuyến cáo, khi mua đồ chơi cho trẻ, ngoài tính giải trí, phụ huynh cũng chú trọng vào tính giáo dục, hỗ trợ sự phát triển của trẻ nhỏ. Tránh những món đồ chơi mang tính bạo lực cao sẽ làm ảnh hưởng đến tinh thần, gián tiếp cổ xuý cho những hành vi gây nguy hiểm.