ثغرات أمنية فى الدمى الذكية تسمح لمجرمى الإنترنت بإجراء محادثة فيديو مع أطفالك

مجرمي الإنترنت - صورة أرشيفية

كتبت هبة السيد

الخميس، 29 فبراير 2024 01:01 ص

اكتشف باحثو مركز الأبحاث الروسي كاسبرسكي أن الثغرات الموجودة في روبوت دمية ذكي شهيرة يمكن أن تجعل الأطفال أهدافاً محتملين لمجرمي الإنترنت، ويمكن أن تسمح نقاط الضعف للمتسللين بالسيطرة على نظام اللعبة وإساءة استخدامه للتواصل السري عبر الفيديو مع الأطفال دون موافقة الوالدين، كما تمتد الأخطار المرتبطة بتطبيق نظام الروبوت إلى مخاطر سرقة التفاصيل الحساسة مثل اسم المستخدم، ونوع الجنس، والعمر، وحتى المواقع الجغرافية.

تم تجهيز روبوت مخصص للأطفال يعمل بنظام Android بكاميرا فيديو وميكروفون مدمجين، حيث يستخدم الروبوت الذكاء الاصطناعي للتعرف على الأطفال بالاسم، والتفاعل معهم، وضبط استجاباتهم بناء على الحالة المزاجية للطفل، كما يتعرف على شخصياتهم تدريجياً بمرور الوقت.

ولإطلاق الإمكانات الكاملة للدمية، يتعين على الوالدين تحميل التطبيق على أجهزتهم المحمولة، عبر هذا التطبيق، يمكن للوالدين تتبع تقدم الطفل في أنشطته التعليمية وحتى إنشاء مكالمة فيديو مع الطفل عبر الروبوت.

أثناء الإعداد الأولي، يُطلب من الآباء توصيل الدمية بشبكة Wi-Fi، وربطها بجهازهم المحمول، ومن ثم إضافة اسم الطفل وعمره، لكن خلال هذه المرحلة كشف خبراء كاسبرسكي عن مشكلة أمنية مثيرة للقلق: تفتقر واجهة برمجة التطبيقات (API) المسؤولة عن طلب هذه المعلومات إلى إجراء المصادقة، وهي خطوة للتحقق ممن يمكنه الوصول إلى موارد شبكتك.

من المحتمل أن تسمح هذه المشكلة لمجرمي الإنترنت باعتراض أنواع مختلفة من البيانات والوصول إليها - بما في ذلك اسم الطفل وعمره وجنسه وبلد إقامته وحتى عنوان بروتوكول الإنترنت IP الخاص به - عن طريق اعتراض حركة مرور الشبكة وتحليلها.

علاوة على ذلك، يتيح هذا الخلل لمجرمي الإنترنت استغلال كاميرا الروبوت وميكروفونه، وإجراء مكالمات مباشرة مع المستخدمين، وتجاوز التفويض المطلوب من حساب الأوصياء، وفي حالة قبول الطفل لهذه المكالمة، يمكن للمهاجم التواصل مع الطفل بخفية دون موافقة الوالدين.

في مثل هذه الحالات، يمكن للمهاجم التلاعب بالمستخدم، مما قد يؤدي إلى استدراجه للخروج من أمان منزله أو التأثير عليه للانخراط في سلوكيات محفوفة بالمخاطر، وتسمح المشكلات الأمنية الخاصة بتطبيق الهاتف الخاص بالوالدين للمعتدي بالتحكم بالروبوت عن بعد والحصول على وصول غير مصرح به إلى الشبكة.

ومع عدم وجود عدد معين للمحاولات الفاشلة، يمكن للمهاجم استخدام أساليب القوة العمياء لاكتشاف كلمة المرور وحيدة الاستخدام (OTP) المكونة من 6 أرقام، وربط الروبوت بحسابه الخاص عن بعد، وهو ما يؤدي لإخراج الجهاز من سيطرة مالكه فعلياً.

عُرضت نتائج البحث الشامل الذي أجراه الفريق خلال جلسة نقاش بعنوان «تمكين الفئات المعرضة في البيئة الرقمية» في المؤتمر العالمي للجوال (MWC) 2024.

للحفاظ على جميع الأجهزة الذكية آمنة ومحمية، قام خبراء كاسبرسكي بتجميع النصائح التالية:

حافظ على تحديث أجهزتك: حَدّث نظام التشغيل والبرامج في جميع أجهزتك المتصلة بالإنترنت، بما في ذلك الدمى الذكية، بشكل منتظم، فغالباً ما تحتوي هذه التحديثات على تصحيحات أمنية مهمة تعالج الثغرات الأمنية المعروفة.

إبحث قبل الشراء: قبل شراء دمية ذكية أو أي جهاز يتصل بالإنترنت، ابحث عن سمعة الشركة المصنعة فيما يتعلق بالأمان والخصوصية، واختر أجهزة من علامات تجارية حسنة السمعة تعطي الأولوية للأمان وتوفر تحديثات منتظمة.

كن حذراً بشأن أذونات التطبيقات: قم بمراجعة وتقييد الأذونات الممنوحة لتطبيقات الهاتف المرتبطة بجهازك الذكي. واسمح بالوصول إلى الميزات والبيانات في حالات الضرورة فقط، وتجنب منح امتيازات مفرطة.

أوقف تشغيل ما لا تستخدمه: قم بإيقاف تشغيل الدمى الذكية عند عدم استخدامها لتجنب جمع البيانات، وإذا كان الجهاز يحتوي على ميكروفون، فقم بتخزينه في مكان يصعب الوصول إليه عندما لا يكون قيد الاستخدام، وقم بتغطية أو إعادة توجيه أي كاميرات عندما تفرغ من استعماله.