Sikkerhed forskere har fundet en fejl i Smart Toy internet-tilsluttet bamse, der anvendes barnets navn, fødselsdag og køn
Forskerne fandt, at app ‘ en er tilsluttet til Fisher-Price legetøj havde flere sikkerhedshuller, der ville tillade en hacker at stjæle barnets navn, fødselsdato og køn, sammen med andre data.
Foto: Fisher Price
@dannyyadron
Tirsdag den 2. februar 2016 14.00 GMT
Sidst opdateret tirsdag den 2 februar 2016 14.02 GMT
I September, Mattel, Fisher-Price mærke meddelte, at det havde indgået en aftale med en tech-firma til at gøre Smart Toy, en udstoppet bjørn, der kan lære en tre-årig mands navn.
Naturligvis, det er hackable.
Forskere ved Rapid7, en Boston-baserede selskab, fandt, at app ‘ en er tilsluttet til Fisher-Price legetøj havde flere sikkerhedshuller, der ville tillade en hacker at stjæle barnets navn, fødselsdato og køn, sammen med andre data. Den toymaker opfordrer forældre til at bruge app ‘ en, så legetøjet kan bedre interagere med børn.
Fisher-Price har da løst problemet, Rapid7 sagde.
I en erklæring, Fisher Price sagde: “Vi har for nylig lært, at en sikkerhedsbrist med vores Fisher-Price WiFi-tilsluttede Smart Toy Bære. Vi har udbedret situationen, og har ingen grund til at tro, at kundens oplysninger var tilgås af uvedkommende. Mattel og Fisher-Price tager sikkerheden for vores forbrugere og deres personlige data meget alvorligt, hvilket er grunden til, at vi handler hurtigt for at løse potentielle sårbarheder som denne.”
Relateret: Lego ‘ s plast kørestol fyr er et seismisk skifte på en toy box | Rebecca Atkinson
Så vidt sikkerhedshuller gå, det ene kan ikke være alvorlig. Men Rapid7 er resultaterne gøre, styrke, hvordan sårbare forbrugere kan blive, som de bringer mere af deres ejendele online ved at gøre dem til “intelligent”. Dette gælder også for legetøj. Sidste år, Rapid7 fundet sikkerhedshuller i en babyalarm. Mattel har også for nylig annonceret en smart Barbie, der har sikkerhed forskere på jagt efter fejl.
De mangler i Fisher-Price tilfælde havde at gøre med, hvordan app ‘ en, er beregnet til forældre, der kommunikerer med servere, der kører i systemet. De er den slags fejl, en mere erfaren internet virksomhed sandsynligvis ikke ville have savnet, Rapid7 sagde.
“Det er en let fejl,” siger Tod Beardsley, en af Rapid7 sikkerhed research manager. “Ville du ikke finde disse fejl i dag fra steder som Google, Microsoft.”
Der er ingen beviser for angribere har brugt de mangler, der er i naturen. Men Beardsley foreslået en måde, hvorpå de kunne bruge den fejl ville være at indsamle oplysninger på en target ‘ s familie for at narre dem til at give dem mere information i et phishing-angreb. Et barns navn er også en fælles adgangskode valg, sagde han.
På sin hjemmeside, Fisher-Price siger “IKKE PERSONLIGT IDENTIFICERBARE DATA, der sendes via Smart Toy”.