每个人都知道,随着更多的事情变得“连接”,我们就越有可能被黑客攻击。去年的一份报告显示,美泰最新的Wi-Fi使能的芭比娃娃很容易被攻击者利用,允许他们监视用户并监听对话,玩具制造商VTech在11月遭遇数据泄露,包括许多涉及儿童的照片和聊天日志。现在,似乎更多的漏洞已经暴露在针对儿童的产品中,这一次是在Fisher-Price的“智能玩具”范围和一行GPS手表。
这些缺陷已经在安全公司Rapid7的博客中发表,并且已经被这两类供应商解决了,但它们是另一个具有明显安全漏洞的互联网产品发布的例子。
Fisher-Price玩具的问题在于,该平台的许多Web服务(API)调用没有适当地验证消息的发送者,这意味着潜在的攻击者可能已经发送了本来不应该被授权的请求。从这里,黑客可以找到所有客户的帐户和相关的儿童档案-包括姓名、出生日期、性别、语言、他们玩的玩具等等。
虽然这种脆弱性可能不像我们看到的其他一些脆弱性那样严重,但有人指出,这一信息“可以在稍后与更完整的儿童概况相结合,以促进任何数量的社会工程或其他恶意运动”。
在Rapid7的帖子中,研究人员马克·斯坦尼斯拉夫(Mark Stanislav)说,攻击者“可以劫持设备的功能并操纵账户数据,他们可以有效地迫使玩具执行儿童用户不打算做的动作,干扰设备的正常运行。”
在一份声明中,拥有费舍尔·普莱斯(Fisher Price)的美泰公司(Mattel)表示:“我们最近了解到,与我们的Fisher Price Wi Fi连接的智能玩具熊存在安全漏洞。我们已经纠正了这种情况,没有理由相信任何未经授权的人访问了客户信息。美泰(Mattel)和费雪(Fisher-Price)非常严肃地对待我们的消费者和他们的个人数据的安全,这就是为什么我们迅速采取行动解决像这样的潜在漏洞。”
Rapid7揭示的第二个安全漏洞可能造成更直接的威胁。通过使用移动应用程序和蜂窝式手表,hereoGPS平台允许家庭相互跟踪。就像Fisher Price玩具一样,在平台的Web服务中发现了一个授权缺陷。这可能让黑客欺骗一个家庭,并将自己添加到他们的小组中,使他们能够查看每个人的位置、历史、个人资料细节,甚至消息。
在Rapid7于11月2日提交初次报告后,本组织的问题于12月15日确定。斯坦尼斯拉夫赞扬了这两家公司对所报道的问题的迅速反应。
斯坦尼斯拉夫补充说:“我们在过去6个月中发现了相当数量的物联网玩具漏洞,我们预计随着新玩具的上市,这一趋势将继续下去。”“对于联网玩具制造商——以及一般的物联网设备——来说,在开发阶段考虑建立安全性是多么关键,我怎么强调都不为过。”
更新(2月7日):关于hereO的脆弱性,该公司发表了以下声明:“该漏洞在识别后4小时内被修补,我们当时还没有开始运输我们的GPS手表,最重要的是,我们可以确认我们用户的数据或安全没有受到损害。”伊莱·谢梅什,这里是CTO。