{"id":28558,"date":"2024-03-04T15:37:46","date_gmt":"2024-03-04T13:37:46","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=28558"},"modified":"2024-03-04T15:37:46","modified_gmt":"2024-03-04T13:37:46","slug":"robot-toy-security-issue","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/robot-toy-security-issue\/28558\/","title":{"rendered":"Le vulnerabilit\u00e0 di un robot giocattolo consentono di spiare gli utenti. \u00c8 tutto vero"},"content":{"rendered":"

Gli esperti di Kaspersky hanno recentemente analizzato la sicurezza di un famoso modello di robot giocattolo<\/a>, individuando importanti problemi che consentivano a utenti malintenzionati di effettuare una videochiamata a qualsiasi robot di questo tipo, violare l\u2019account dei genitori o, potenzialmente, persino caricare firmware modificato. Continua a leggere per maggiori dettagli.<\/p>\n

Cosa pu\u00f2 fare un robot giocattolo<\/h2>\n

Il modello di robot giocattolo che abbiamo studiato \u00e8 una sorta di ibrido tra uno smartphone\/tablet e uno smart speaker su ruote, che gli consentono di muoversi. Il robot non ha arti, quindi rotolare per casa \u00e8 la sua unica opzione per interagire fisicamente con l\u2019ambiente circostante.<\/p>\n

L\u2019elemento centrale del robot \u00e8 un ampio touchscreen in grado di visualizzare un\u2019interfaccia utente di controllo, app di apprendimento interattive per bambini e un volto animato e dettagliato, in stile fumetto. Le sue espressioni facciali cambiano a seconda del contesto: va riconosciuto agli sviluppatori di aver fatto un ottimo lavoro sulla personalit\u00e0 del robot.<\/p>\n

\u00c8 possibile controllare il robot con i comandi vocali, ma alcune delle sue funzionalit\u00e0 non li supportano, quindi a volte \u00e8 necessario prenderlo fisicamente e toccarne il volto<\/span> con lo schermo integrato.<\/p>\n

Oltre a un microfono integrato e a un altoparlante piuttosto rumoroso, il robot ha una fotocamera grandangolare posizionata appena sopra lo schermo. Una caratteristica chiave promossa dal produttore \u00e8 la capacit\u00e0 per i genitori di videochiamare i propri figli direttamente attraverso il robot.<\/p>\n

Sul lato anteriore, pi\u00f9 o meno a met\u00e0 tra lo schermo e le ruote, c\u2019\u00e8 un sensore ottico aggiuntivo di riconoscimento degli oggetti, che aiuta il robot a evitare di scontrarsi con ci\u00f2 che lo circonda. Essendo il riconoscimento degli ostacoli totalmente indipendente dalla fotocamera principale, gli sviluppatori hanno aggiunto una funzionalit\u00e0 molto utile: un otturatore fisico che copre completamente quest\u2019ultima.<\/p>\n

Se quindi sei preoccupato che qualcuno possa spiare te e\/o tuo figlio attraverso la fotocamera (non senza motivo, come vedremo in seguito), puoi semplicemente chiudere l\u2019otturatore. Inoltre, se temi che qualcuno possa origliarti attraverso il microfono integrato, puoi spegnere il robot (e a giudicare dal tempo necessario per il riavvio, si tratta di un vero e proprio spegnimento, non di una modalit\u00e0 di sospensione).<\/p>\n

Come prevedibile, \u00e8 disponibile un\u2019app per il controllo e il monitoraggio del giocattolo che i genitori possono utilizzare. Infine, come avrai intuito, \u00e8 tutto connesso a Internet e viene utilizzata una serie di servizi cloud. Se sei interessato ai dettagli tecnici, puoi trovarli nella versione completa della ricerca sulla sicurezza<\/a>, che abbiamo pubblicato su Securelist.<\/p>\n

Come al solito, pi\u00f9 il sistema \u00e8 complesso, pi\u00f9 \u00e8 probabile che ci siano falle di sicurezza, che qualcuno potrebbe provare a sfruttare per fare qualcosa di sgradevole. E qui arriviamo al punto chiave di questo post: dopo aver studiato attentamente il robot, abbiamo individuato diverse gravi vulnerabilit\u00e0.<\/p>\n

Videochiamate non autorizzate<\/h2>\n

La prima cosa che abbiamo scoperto durante la nostra ricerca \u00e8 stata che un utente malintenzionato poteva effettuare videochiamate a qualsiasi robot di questo tipo. Il server del produttore emetteva token per le sessioni video per chiunque avesse sia l\u2019ID del robot che l\u2019ID del genitore. L\u2019ID del robot non era difficile da ottenere: ogni giocattolo aveva un ID di nove caratteri simile al numero di serie stampato sul corpo, con i primi due caratteri uguali per ogni unit\u00e0. E l\u2019ID del genitore pu\u00f2 essere ottenuto inviando una richiesta con l\u2019ID del robot al server del produttore senza alcuna autenticazione.<\/p>\n

Pertanto, un utente malintenzionato che volesse chiamare un bambino a caso poteva provare a indovinare l\u2019ID di un robot specifico o giocare a una chat-roulette chiamando ID casuali.<\/p>\n

Violazione completa dell\u2019account del genitore<\/h2>\n

Non finisce qui. Il sistema ingenuo permetteva a chiunque disponesse di un ID robot di recuperare molte informazioni personali dal server (indirizzo IP, paese di residenza, nome del bambino, sesso, et\u00e0), insieme ai dettagli dell\u2019account del genitore (indirizzo e-mail, numero di telefono e codice che collega l\u2019app dei genitori al robot).<\/p>\n

Questo, a sua volta, apriva la strada a un attacco molto pi\u00f9 pericoloso: la completa violazione dell\u2019account dei genitori. Un utente malintenzionato avrebbe dovuto eseguire solo pochi semplici passaggi:<\/p>\n