Nye sikkerhets-problemer som dukket opp i forrige uke i forbindelse med Mattels Hei Barbie dukke, som snakker tilbake til barna, har økt frykt for at hackere kan bruke leken til å stjele informasjon om sine eiere og deres familier.
Den Hallo Barbie-app, som er tilgjengelig for iOS og Android, bruker en godkjenning bevis som kan gjenbrukes av hackere,
Bluebox offentliggjort.
Den kan også kobles til en mobil enhet til en usikrede WiFi-nettverk med navn som inneholder ordet “Barbie” fast sa. Videre er det fulgte med ubrukt kode som serverer ingen nyttig funksjon, men ikke øke den samlede angripe overflaten.
På serversiden, hackere kunne bruke klienten sertifisering legitimasjonskrav utenfor app for å undersøke Hei Barbie cloud servere, Bluebox oppdaget. Også, server-domene for ToyTalk, som gir appen og teknologi som driver Hei Barbie, var på en cloud infrastruktur utsatt for
Puddel angrep.
“Det faktum dukken ble levert med slike åpenbare sikkerhetsspørsmål er bare en annen indikasjon på begge selskaper” åpenbar mangel på respekt for barns trivsel,” sier Josh Golin, direktør for
CCFC: Kampanje for en reklamefri Barndom, som kjører
“Helvete Nei Barbie” – kampanjen mot å snakke dukken.
Fikse Problemet
“ToyTalk har oppdatert Puddel sårbarhet på sine servere, sammen med et par andre mindre problemer som hadde minimal innvirkning,” sa Andrew Blaich, føre security analyst på Bluebox.
Men legitimasjon problemet “er fortsatt under arbeid,” fortalte han TechNewsWorld. “ToyTalk har indikert at det er et problem, og vil være å undersøke løsninger, men i mellomtiden har de andre lagene av godkjenning som kan gjøre et angrep litt vanskeligere.”
ToyTalk antatt en sofistikert hacker ville oppdage
P12 sertifikat i Hei Barbie app, noterte selskapets administrerende direktør Martin Reddy.
“Vi lagt klient sertifikat autentisering, utover hva de fleste Internett-tilkoblede enheter gjør, som en måte å avskrekke en uformell angriper,” fortalte han TechNewsWorld.
Dette angrepet er bare mulig i løpet av den korte perioden som er nødvendig for brukere å koble til dukken til sine Wi-fi-nettverk, Reddy ‘ sa, og det vil ikke komme noe sted fordi “selv etter å omgå denne funksjonen, angriperen får ikke tilgang til WiFi-passord, kan ingen få tilgang til barn audio data, og kan ikke endre hva dukke sier.”
Forrige Angrep
Hackere tidligere har vært i stand til å ta over og endre Hei Barbie er forhåndsinnspilt svar,
bemerket sikkerhet forsker Matthew Jakubowski, som sa han hadde hacket dukken OS og samlet system informasjon, Wi-fi-nettverk navn, sin interne MAC-adresse, konto Id-er og MP3-filer som brukes til forhåndsinnspilt svar.
Denne informasjonen kan brukes til å få tilgang til hjemme-Wi-fi-nettverk av doll eier og alt Hei Barbie-poster, sa han.
Mattel og ToyTalk “har tatt mange skritt for å sikre Hei Barbie møter sikkerhet og trygghet protokoller,” Mattel sa i en uttalelse gitt til TechNewsWorld av selskapets talsperson Marissa Beck.
“I alle påstander som vi vet om, ingen barn audio-filer som ble åpnet, ingen passord ble kompromittert, og ingen personlig informasjon ble offentliggjort, og ingen dukker ble gjort for å si noe uplanlagt.”
Imidlertid, foreldre angivelig kan velge å ha lyd-filer av samtalene deres barn har med Hello Barbie
lagret på ToyTalk hjemmeside. Foreldrene kan få tilgang til filer etter at du har logget inn, men hvis hackere var å finne ut passordene sine, de kan få tilgang til filene som godt.
Ikke Så Smart Leker
Det er for øyeblikket ingen industri standarder for Internett-tilkoblet leker, eller IoT generelt.
“Å stole på selskapene for å beskytte barn ikke vil fungere,” CCFC er Golin sa. “Vi trenger absolutt løsninger for å sikre disse enhetene er sikker og ikke tjene opp annonser.”
Foreldre “har ingen måte å vite hvis den leken de prøver å kjøpe var godt designet og utviklet,” Kymberlee Pris,
Bugcrowd er senior director of research operasjoner, fortalte TechNewsWorld. “Underslår trusselen … har sett hundrevis av tusenvis av barn og millioner av foreldre i fare for identitetstyveri, svindel eller verre.”
Richard Adhikari har skrevet om high-tech for ledende publikasjoner siden 1990-tallet og under der det er alle fører til. Vil det RFID-chips i mennesker være Dyrets Merke? Vil nanotech løse våre kommende mat krise? Gjør Stør ‘ s Lov fortsatt holder sant? Du kan koble til med Richard på
Google+.