كاسبرسكي تحذر من الدمى الذكية بسبب الثغرات الأمنية ومحادثات الفيديو مع الأطفال
جدة – سويفت نيوز:
اكتشف باحثو كاسبرسكي أن الثغرات الموجودة في روبوت دمية ذكي شهيرة يمكن أن تجعل الأطفال أهدافاً محتملين لمجرمي الإنترنت. ويمكن أن تسمح نقاط الضعف للمتسللين بالسيطرة على نظام اللعبة وإساءة استخدامه للتواصل السري عبر الفيديو مع الأطفال دون موافقة الوالدين. كما تمتد الأخطار المرتبطة بتطبيق نظام الروبوت إلى مخاطر سرقة التفاصيل الحساسة مثل اسم المستخدم، ونوع الجنس، والعمر، وحتى المواقع الجغرافية.
تم تجهيز روبوت مخصص للأطفال يعمل بنظام Android بكاميرا فيديو وميكروفون مدمجين. حيث يستخدم الروبوت الذكاء الاصطناعي للتعرف على الأطفال بالاسم، والتفاعل معهم، وضبط استجاباتهم بناء على الحالة المزاجية للطفل، كما يتعرف على شخصياتهم تدريجياً بمرور الوقت. ولإطلاق الإمكانات الكاملة للدمية، يتعين على الوالدين تحميل التطبيق على أجهزتهم المحمولة. عبر هذا التطبيق، يمكن للوالدين تتبع تقدم الطفل في أنشطته التعليمية وحتى إنشاء مكالمة فيديو مع الطفل عبر الروبوت.
أثناء الإعداد الأولي، يُطلب من الآباء توصيل الدمية بشبكة Wi-Fi، وربطها بجهازهم المحمول، ومن ثم إضافة اسم الطفل وعمره. لكن خلال هذه المرحلة، كشف خبراء كاسبرسكي عن مشكلة أمنية مثيرة للقلق: تفتقر واجهة برمجة التطبيقات (API) المسؤولة عن طلب هذه المعلومات إلى إجراء المصادقة، وهي خطوة للتحقق ممن يمكنه الوصول إلى موارد شبكتك. من المحتمل أن تسمح هذه المشكلة لمجرمي الإنترنت باعتراض أنواع مختلفة من البيانات والوصول إليها – بما في ذلك اسم الطفل وعمره وجنسه وبلد إقامته وحتى عنوان بروتوكول الإنترنت IP الخاص به – عن طريق اعتراض حركة مرور الشبكة وتحليلها. علاوة على ذلك، يتيح هذا الخلل لمجرمي الإنترنت استغلال كاميرا الروبوت وميكروفونه، وإجراء مكالمات مباشرة مع المستخدمين، وتجاوز التفويض المطلوب من حساب الأوصياء. وفي حالة قبول الطفل لهذه المكالمة، يمكن للمهاجم التواصل مع الطفل بخفية دون موافقة الوالدين.
في مثل هذه الحالات، يمكن للمهاجم التلاعب بالمستخدم، مما قد يؤدي إلى استدراجه للخروج من أمان منزله أو التأثير عليه للانخراط في سلوكيات محفوفة بالمخاطر.
علاوة على ذلك، يمكن أن تسمح المشكلات الأمنية الخاصة بتطبيق الهاتف الخاص بالوالدين للمعتدي بالتحكم بالروبوت عن بعد والحصول على وصول غير مصرح به إلى الشبكة. ومع عدم وجود عدد معين للمحاولات الفاشلة، يمكن للمهاجم استخدام أساليب القوة العمياء لاكتشاف كلمة المرور وحيدة الاستخدام (OTP) المكونة من 6 أرقام، وربط الروبوت بحسابه الخاص عن بعد، وهو ما يؤدي لإخراج الجهاز من سيطرة مالكه فعلياً.
من جانبه، علق نيكولاي فرولوف، باحث أمني أول في فريق كاسبرسكي للاستجابة للطوارئ السيبرانية لأنظمة التحكم الصناعية: «عند شراء الدمى الذكية، يصبح من الضروري عدم الاكتفاء بإعطاء الأولوية لقيمتها الترفيهية والتعليمية، بل الاهتمام بميزات السلامة والأمان الخاصة بها كذلك. على الرغم من الاعتقاد السائد بأن ارتفاع السعر يعني الأمن المُعزز، فمن الضروري أن نفهم أنه حتى أكثر الدمى الذكية تكلفة قد لا تكون محصنة ضد الثغرات القابلة للاستغلال من قبل المجرمين. لذا، يجب على الوالدين متابعة مراجعات الألعاب بعناية، والتنبه بشأن تحديث برامج الأجهزة الذكية، والإشراف على أنشطة أطفالهم أثناء وقت اللعب عن كثب.»
عُرضت نتائج البحث الشامل الذي أجراه الفريق خلال جلسة نقاش بعنوان «تمكين الفئات المعرضة في البيئة الرقمية» في المؤتمر العالمي للجوال (MWC) 2024.
من جانبه، أبلغ فريق كاسبرسكي مزود الدمى بجميع نقاط الضعف التي اكتشفها، وقام بتصحيحها على الفور. وللحفاظ على جميع الأجهزة الذكية آمنة ومحمية، قام خبراء كاسبرسكي بتجميع النصائح التالية:
- حافظ على تحديث أجهزتك: حَدّث نظام التشغيل والبرامج في جميع أجهزتك المتصلة بالإنترنت، بما في ذلك الدمى الذكية، بشكل منتظم. حيث غالباً ما تحتوي هذه التحديثات على تصحيحات أمنية مهمة تعالج الثغرات الأمنية المعروفة.
- إبحث قبل الشراء: قبل شراء دمية ذكية أو أي جهاز يتصل بالإنترنت، ابحث عن سمعة الشركة المصنعة فيما يتعلق بالأمان والخصوصية. واختر أجهزة من علامات تجارية حسنة السمعة تعطي الأولوية للأمان وتوفر تحديثات منتظمة.
- كن حذراً بشأن أذونات التطبيقات: قم بمراجعة وتقييد الأذونات الممنوحة لتطبيقات الهاتف المرتبطة بجهازك الذكي. واسمح بالوصول إلى الميزات والبيانات في حالات الضرورة فقط، وتجنب منح امتيازات مفرطة.
- أوقف تشغيل ما لا تستخدمه: قم بإيقاف تشغيل الدمى الذكية عند عدم استخدامها لتجنب جمع البيانات. وإذا كان الجهاز يحتوي على ميكروفون، فقم بتخزينه في مكان يصعب الوصول إليه عندما لا يكون قيد الاستخدام، وقم بتغطية أو إعادة توجيه أي كاميرات عندما تفرغ من استعماله.