Nye sikkerhedspolitiske spørgsmål, som er dukket op i sidste uge i forbindelse med, at Mattel ‘ s Hello Barbie dukke, som taler tilbage til børnene, har øget frygten for, at hackere kan bruge legetøjet til at stjæle oplysninger om dets ejere og deres familier.
Hello Barbie app, som er tilgængelig for iOS og Android, der bruger en godkendelse af legitimationsoplysninger, der kan genbruges af hackere,
Bluebox offentliggjort.
Det forbinder også en mobil enhed til en usikrede WiFi-netværk, hvis navn indeholder ordet “Barbie,” firmaet, der sagde. Yderligere, det er afsendt med ubrugte kode, der tjener ikke noget nyttigt formål, men som ikke øge den samlede angribe overfladen.
På serversiden, som hackere kan bruge klient-certificering legitimationsoplysninger uden app ‘ en til at undersøge Hej Barbie cloud servere, Bluebox opdaget. Også, den server, domæne for ToyTalk, som giver app ‘ en, og den teknologi, der driver Hej Barbie, var på en cloud-infrastruktur, der er modtagelige for den
Puddel-angreb.
“Det faktum, dukken blev sendt med sådanne åbenlyse sikkerhedsmæssige spørgsmål er blot en anden betegnelse for både virksomheder’ åbenlyse mangel på respekt for børnenes trivsel,” sagde Josh Golin, administrerende direktør for
CCFC: Kampagne for Kommercielle-Fri Barndom, som kører
“Hell No Barbie” – kampagne mod den talende dukke.
Fastsættelse af Problemet
“ToyTalk har lappet Pudlen sårbarhed på deres servere, sammen med et par andre mindre problemer, der havde minimal indflydelse,” sagde-Andrew Blaich, føre sikkerhed analytiker hos Bluebox.
Men de legitimationsoplysninger problemet “er der stadig bliver arbejdet på,” fortalte han TechNewsWorld. “ToyTalk har oplyst, at det er et problem, og vil være at undersøge løsninger, men i mellemtiden har de andre lag af godkendelse, der kan gøre et angreb lidt hårdere.”
ToyTalk antaget en avanceret hacker ville opdage det
P12-certifikat i Hello Barbie app, bemærkede firma CTO Martin Reddy.
“Vi tilføjet klient-certifikat-godkendelse, ud over hvad de fleste Internet-tilsluttede enheder at gøre, som en måde at afværge en afslappet angriber,” fortalte han TechNewsWorld.
Dette angreb er kun muligt i løbet af den korte periode, der er nødvendig for brugerne at tilslutte dukke til deres WiFi-netværk, Reddy sagde, og det vil ikke komme nogen steder, fordi “selv efter at omgå denne funktion, angriberen får adgang til WiFi adgangskoder, ingen adgang til barn audio data, og kan ikke ændre, hvad dukken siger.”
Tidligere Angreb
Hackere, der tidligere har været i stand til at tage over og ændre Hej Barbie er optagede svar,
bemærkes, sikkerhed, forsker Matthew Jakubowski, der sagde, at han havde hacket den dukke OS og indsamlet oplysninger om systemet, WiFi netværk navne, dens interne MAC-adresse, konto-id ‘ er og MP3-filer, der bruges til optagede svar.
Disse oplysninger kunne bruges til at få adgang til hjemmet WiFi netværk af dukke ejer, og alt Hello Barbie poster, sagde han.
Mattel og ToyTalk “har taget mange skridt for at sikre Hej Barbie opfylder sikkerhed protokoller,” Mattel, sagde i en erklæring, forudsat at TechNewsWorld af selskabets talsmand Marissa Beck.
“I alle de krav, vi kender, ingen børn lydfiler havde adgang til; ingen passwords blev kompromitteret; ingen personlige oplysninger der blev videregivet, og at der ikke dukker blev fremstillet til at sige noget utilsigtet.”
Men forældre, der efter sigende kan vælge at få lydfiler af samtaler deres børn har med Hello Barbie
gemt på ToyTalk ‘ s hjemmeside. Forældre kan få adgang til de filer, når du er logget ind — men hvis hackere var at finde ud af deres adgangskode, kan de få adgang til filerne så godt.
Ikke Så Smart Legetøj
Der er i øjeblikket ingen industri standarder for Internet-tilsluttet legetøj, eller IoT generelt.
“At have tillid til de virksomheder, der for at beskytte børn, der ikke vil arbejde,” CCFC er Golin sagde. “Vi har absolut brug for politiske løsninger for at sikre, at disse enheder er sikre og ikke tjene op-annoncer.”
Forældre “har ingen måde at vide, hvis legetøjet, de er ved at købe, var sikkert, der er designet og udviklet,” Kymberlee Pris,
Bugcrowd ‘ s øverste direktør for forskning operationer, fortalte TechNewsWorld. “Man undervurderer truslen … har lagt hundredvis af tusindvis af børn og millioner af forældre i fare for identitetstyveri, svindel eller værre.”
Richard Adhikari har skrevet om high-tech for branchens førende publikationer siden 1990’erne, og vidundere, hvor det hele fører til. Vil implanteret RFID-chips i mennesker være Dyrets Mærke? Vil nanotech løse vores kommende fødevarekrise? Gør Stør ‘ s Lov, der stadig holder stik? Du kan forbinde med Richard på
Google+.