- Pexels/Ron Lach
VIVA Tekno – Kerentanan pada robot mainan pintar yang populer dapat menjadikan anak-anak sebagai sasaran potensial penjahat dunia maya atau hacker, demikian temuan para peneliti Kaspersky.
Keretanan ini memungkinkan hacker mengambil kendali sistem mainan dan menyalahgunakannya untuk berkomunikasi secara diam-diam dengan anak-anak melalui obrolan video tanpa izin orangtua.
Risiko yang dapat membahayakan mencakup pengambilan detail sensitif seperti nama pengguna, jenis kelamin, usia, dan bahkan lokasi mereka. Robot berbasis Android yang dirancang untuk anak-anak dilengkapi dengan kamera video dan mikrofon internal.
Teknologi ini memanfaatkan kecerdasan buatan (AI) untuk mengenali dan berinteraksi dengan anak-anak berdasarkan nama dan menyesuaikan responsnya berdasarkan suasana hati anak, serta secara bertahap mengenal mereka seiring berjalannya waktu.
Untuk menjelajahi potensi mainan secara maksimal, orangtua diharuskan mengunduh aplikasinya ke perangkat seluler mereka. Melalui aplikasi ini, orangtua dapat memantau perkembangan aktivitas belajar anak, bahkan melakukan panggilan video dengan anak melalui robot.
Selama pengaturan awal, orangtua diinstruksikan untuk menghubungkan mainan tersebut ke jaringan Wi-Fi, selanjutnya menghubungkannya ke perangkat seluler mereka, kemudian memberikan nama dan usia anak.
Selama fase ini, para ahli Kaspersky telah menemukan masalah keamanan yang mengkhawatirkan: API (Application Programming Interface) yang bertanggung jawab untuk meminta informasi itu tidak memiliki penegakan otentikasi, sebuah langkah yang mengonfirmasi siapa yang dapat mengakses sumber daya jaringan Anda.
Hal ini berpotensi memungkinkan penjahat dunia maya untuk mencegat dan mengakses berbagai jenis data – termasuk nama anak, usia, jenis kelamin, negara tempat tinggal, dan bahkan alamat IP mereka – dengan menyadap dan menganalisis lalu lintas jaringan.
Terlebih lagi, kelemahan ini memungkinkan penjahat dunia maya mengeksploitasi kamera dan mikrofon robot, melakukan panggilan langsung ke pengguna, tanpa melewati otorisasi yang diperlukan dari akun wali.
Jika seorang anak menerima panggilan ini, penyerang dapat berkomunikasi secara diam-diam, tanpa persetujuan orangtua.
Dalam kasus seperti ini, penyerang dapat memanipulasi pengguna, berpotensi memancing mereka keluar dari rumah atau mempengaruhi mereka untuk melakukan perilaku berisiko.
Selain itu, masalah keamanan aplikasi seluler induk dapat memungkinkan penyerang mengambil kendali robot dari jarak jauh dan mendapatkan akses tidak sah ke jaringan.
Dengan menggunakan metode brute force untuk memulihkan enam digit kata sandi satu kali (OTP), dan tanpa batasan pada upaya yang gagal, penyerang dapat menghubungkan robot ke akunnya dari jarak jauh, sehingga secara efektif membuat perangkat lepas dari kendali pemilik.
