Тедді-балаканина: У “розумних” м’яких іграшок Fisher-Price виявили недоліки безпеки

Якраз на Різдво минулого року одна фірма, що займається безпекою, виявила, що Hello Barbie, лялька Mattel з підтримкою Wi-Fi, з милою сріблястою курткою і функцією розпізнавання мови, була вразлива до злому. Тепер у Fisher-Price, яка належить компанії Mattel, свої іграшкові проблеми. Її “Розумні іграшки” (м’які іграшки, що підключаються до Інтернету), мають аналогічну вразливість, як стверджують дослідники безпеки з компанії Rapid7 .

“Інтерактивний навчальний друг”, призначений для дітей віком 3-8 років, слухає і відповідає дитині, розповідає історії та жарти, знає погоду і заголовки новин. У той час як улюблене м’яке опудало кролика може лише зробити дитину вразливою, заразивши її мікробами скарлатини, додавання Wi-Fi може розкрити їхню особистість”. “Було встановлено, що багато викликів веб-сервісу (API) платформи не перевіряли належним чином “відправника” повідомлень, що дозволяло потенційному зловмиснику надсилати запити, які не повинні бути дозволені за ідеальних умов роботи”, – повідомляє Rapid7. Це означає, що зловмисник міг отримати дані іграшки (включаючи її ідентифікатор, назву, тип), отримати доступ до профілю дитини (який містить такі дані, як ім’я, день народження, стать та мову), змінити дані облікового запису та переглянути іншу інформацію, таку як результати гри та покупки клієнтів.

“Хоча, зокрема, імена та дні народження номінально не є секретними даними, пізніше вони можуть бути об’єднані з більш повним профілем дитини, щоб полегшити будь-яку кількість соціальної інженерії або інших зловмисних кампаній, спрямованих проти дитини або її опікунів”, – написав Марк Станіслав з Raipd7 у пості про вразливості “розумних” іграшок.

Після того, як Rapid7 зв’язався з Fisher-Price з приводу цих питань, компанія вирішила проблему. Розумний годинник HereO, покликаний допомогти сім’ям стежити один за одним, також мав вразливість, виявили дослідники. Платформа GPS мала ваду авторизації, яка могла дозволити зловмисникам відправити запит на прийняття авторизації, після того, як вона була виправлена. Цей дозвіл надає доступ до місцезнаходження членів сім’ї та історії місцезнаходження.

Це важкий час – бути дитиною, яка підключена до Інтернету. Минулого тижня Департамент у справах споживачів Нью-Йорка розпочав розслідування щодо підключених радіонянь завдяки доповіді Rapid7, в якій порушувалися питання безпеки.

Рекомендації редакції

• CBS помиляється. Хакери навряд чи пограбують “розумний” будинок
• Nest проти Ecobee: Який розумний термостат краще?
• Цей південнокорейський злом розумного будинку – ще одна причина, чому варто убезпечити свій будинок
• Як захистити свої розумні камери Ring від злому
• Не залишайтеся в темряві. Будьте готові до урагану за допомогою цих інструментів розумного будинку

Source: digitaltrends.com