Как пишет TelecomDaily, робот, «начинку» которого проанализировали специалисты «Лаборатории Касперского», оказался интерактивным устройством на базе операционной системы Android. Он имеет большой цветной экран, микрофон, видеокамеру и может передвигаться, представляя собой условный «планшет на колесах». Функциональность робота включает игровые и обучающие приложения для детей, голосовой ассистент, возможность выхода в интернет и связи с родителями через приложения на их смартфонах.
Перед началом использования робота его необходимо связать с аккаунтом взрослых. Для этого пользователь должен установить на своем мобильном устройстве специальное приложение. При первом включении игрушка просит выбрать сеть Wi-Fi, привязать робота к мобильному устройству родителя и ввести имя и возраст ребенка.
Первым недостатком с точки зрения кибербезопасности оказалось то, что информация о ребенке передавалась по протоколу HTTP в открытом виде. Теоретически злоумышленники могли бы перехватить ее, используя программное обеспечение для анализа сетевого трафика. При этом протокол HTTP использовался до обновления прошивки робота до актуальной версии, после обновления стал использоваться HTTPS.
Кроме этого, эксперты изучили некоторые сетевые запросы и увидели, что один из них возвращает токен доступа к API на основе следующих аутентификационных данных: имя пользователя, пароль и ключ. Более того, это происходило даже в том случае, если запрос содержал заведомо неправильный пароль из произвольного набора символов.
Ранее эксперты рассказали о мошенниках, которые выдают себя за сотрудников Федеральной налоговой службы (ФНС).
