Nya säkerhetsproblem som dykt upp förra veckan i samband med Mattel Hej Barbie docka, som talar tillbaka till barnen, har ökat befarar att hackare skulle kunna använda leksaken för att stjäla information om dess ägare och deras familjer.
Hej Barbie-appen, som finns både för iOS och Android som använder någon autentisering med autentiseringsuppgifter som kan återanvändas av hackare,
Bluebox lämnas ut.
Det ansluter också en mobil enhet för att alla osäkra WiFi-nätverk vars namn innehåller ordet “Barbie,” företaget sa. Ytterligare, det levereras med oanvända kod som har ingen praktisk funktion, men inte öka den totala attacken yta.
På serversidan, hackare kan använda klienten certifiering autentiseringsuppgifter utanför appen att testa Hej Barbie cloud-servrar, upptäckt Bluebox. Även server-domän för ToyTalk, som ger appen och den teknik som driver Hej Barbie, var på ett moln-infrastruktur som är mottagliga för
Pudel attack.
“Det faktum dockan var som transporteras med sådana uppenbara säkerhetsproblem är bara ännu ett tecken på de båda företagens uppenbar likgiltighet för barns välbefinnande”, sade Josh Golin, verkställande direktör
CCFC: Kampanj för en Kommersiell-Gratis Barndom, som kör
“Hell No Barbie” – kampanj mot den talande docka.
Åtgärda Problemet
“ToyTalk har lappat Pudel sårbarhet på sina servrar, tillsammans med ett fåtal andra mindre frågor som hade minimal effekt,” säger Andrew Blaich, leda säkerhetspolitisk analytiker på Bluebox.
Dock referenser frågan “är fortfarande arbetas på,” han berättade TechNewsWorld. “ToyTalk har uppgett att det är ett problem och kommer att utreda lösningar, men under tiden har de andra lager av autentisering som kan göra en attack på lite hårdare.”
ToyTalk antas en sofistikerad hacker skulle upptäcka
P12-certifikat Hej Barbie app, noterade företag CTO Martin Reddy.
“Vi har lagt klientcertifikat för autentisering, utöver vad de flesta Internet-anslutna enheter, som ett sätt att motverka en avslappnad angripare”, sa han till TechNewsWorld.
Denna attack är bara möjligt under den korta tid som krävs för användare att ansluta dockan till sin Wi-fi-nätverk, Reddy sade, och det kommer inte att komma någonstans eftersom “även efter det att kringgå detta har angriparen av ingen tillgång till Wi-fi-lösenord, ingen tillgång till barn-ljud, och kan inte ändra vad dockan säger.”
Tidigare Attacker
Hackare tidigare har kunnat ta över och ändra Hej Barbie är förinspelade svar,
noteras säkerhet forskaren Matthew Jakubowski, som sa att han hade hackat docka OS och samlat in information om systemet, Wi-fi-nätverkets namn, dess inre MAC-adress, konto-Id: n, och de MP3-filer som används för inspelade svar.
Denna information kan användas för att komma hem WiFi-nätverk av dockan ägare och allt Hej Barbie poster, sade han.
Mattel och ToyTalk “har tagit flera steg för att säkerställa Hej Barbie möter trygghet och säkerhet protokoll,” Mattel sade i ett uttalande att TechNewsWorld av talesperson för företaget Marissa Beck.
“I alla påståenden som vi vet om, ingen children’ s audio filer öppnas; inget lösenord har äventyrats, ingen personlig information avslöjas, och inga dockor gjordes för att säga något oavsiktlig.”
Men, föräldrarna enligt uppgift kan välja att ha audio-filer samtal deras barn har med Hello Barbie
lagras på ToyTalk s webbplats. Föräldrarna kan komma åt filer när du har loggat in — men om hackare var för att räkna ut sina lösenord, de kunde få tillgång till filerna.
Inte Så Smarta Leksaker
Det finns för närvarande ingen bransch-standarder för Internet-ansluten leksaker, eller sakernas internet i allmänhet.
“Lita på företag för att skydda barn kommer inte att fungera,” CCFC är Golin sagt. “Vi behöver absolut politiska lösningar för att säkerställa att dessa enheter är säkra och inte tjäna upp annonser.”
Föräldrar “har inget sätt att veta om leksaken är de som köper säkert är utformad och utvecklad,” Kymberlee Pris,
Bugcrowd senior director of research verksamhet, berättade TechNewsWorld. “Underskatta hotet … har lagt hundratusentals barn och miljontals föräldrar på risken för stöld, bedrägeri eller värre.”
Richard Adhikari har skrivit om high-tech för ledande publikationer i industrin sedan 1990-talet och undrar om det hela leder till. Kommer inopererade RFID-chip i människor vara Vilddjurets Märke? Kommer nanotekniken att lösa våra kommande livsmedelskris? Gör Sturgeons Lag håller fortfarande sant? Du kan ansluta med Richard på
Google+.