Perusahaan keamanan Cepat7 telah menemukan kerentanan di sejumlah produk anak-anak, meskipun perusahaan mengklaim kerentanan tersebut kini telah ditambal.
Rapid7 menemukan kerentanan dalam Fisher Price Smart Toy, serangkaian beruang lembut yang dimaksudkan untuk mendidik dan melibatkan anak-anak. “Panggilan layanan web (API) mainan tersebut tidak memverifikasi pengirim pesan dengan tepat,” ungkap laporan tersebut, yang berarti penyerang dapat mengirim permintaan ke perangkat tanpa izin.
Lihat terkait
Secara khusus, dimungkinkan untuk memperoleh nama anak, tanggal lahir, jenis kelamin, bahasa, dan mainan apa yang pernah mereka mainkan, buat, mengedit, atau menghapus profil anak-anak di sebuah akun, mengganti mainan yang terkait dengan sebuah akun, mencari tahu apakah orang tua menggunakan aplikasi seluler terkait dan lihat pembelian yang dilakukan oleh pelanggan, skor permainan yang dimainkan pada mainan tersebut, dan paket permainan apa yang telah ada diunduh.
“Yang paling jelas, kemampuan orang yang tidak berkepentingan untuk mendapatkan rincian dasar tentang seorang anak (misalnya nama, tanggal lahir, jenis kelamin, bahasa lisan) adalah sesuatu yang menjadi perhatian sebagian besar orang tua,” Mark Stanislav, manajer, layanan global di Rapid7, mengatakan dalam bukunya blog.
“Meskipun secara khusus, nama dan tanggal lahir bukanlah data rahasia, namun nantinya dapat digabungkan dengan profil yang lebih lengkap. anak untuk memfasilitasi sejumlah rekayasa sosial atau kampanye jahat lainnya terhadap anak tersebut atau anak tersebut pengasuh.”
Jam tangan GPS HereO juga terbuka untuk diserang, jelas Rapid7.
“Dengan menyalahgunakan kerentanan ini, penyerang dapat menambahkan akunnya ke grup keluarga mana pun, dengan sedikit pemberitahuan bahwa ada sesuatu yang tidak beres. Notifikasi ini juga ditemukan dapat dimanipulasi melalui rekayasa sosial yang cerdas membuat 'nama asli' penyerang dengan pesan seperti, 'Ini hanya ujian, harap abaikan.'” Stanislav ditambahkan.
Setelah eksploitasi diserang, informasi termasuk lokasi setiap anggota keluarga, atau riwayat lokasi dapat terungkap dan dapat digunakan untuk menyalahgunakan platform.
Fisher Price dan HereO mengatakan mereka telah memperbaiki kerentanan yang ditemukan oleh Rapid7. Namun, hal ini menjadi peringatan keras bagi orang tua dan produsen.
“Jumlah data pribadi yang konsumen berikan kepada vendor dapat membahayakan privasi dan keamanan pribadi mereka jika tidak dilindungi dan dikendalikan dengan baik,” kata Stanislav.
“Akses ke informasi identitas pribadi individu, perangkat yang terhubung ke Internet di rumah mereka, dan potensinya untuk interaksi anonim dengan anak-anak adalah semua kekhawatiran yang perlu diatasi selama pertumbuhan Internet Hal-hal. Ketika vendor terus berinovasi di pasar mainan yang terhubung, fokus tambahan harus diberikan pada pengamanan privasi dan keselamatan pengguna.”
Ini adalah yang terbaru dari serangkaian kerentanan yang ditemukan pada mainan anak-anak. Dalam beberapa bulan terakhir, Teknologi VPlatform pendidikan telah diretas, begitu pula Hello Barbie yang dapat digunakan untuk memata-matai anak-anak.
Pakar keamanan kini telah memperingatkan orang tua untuk mewaspadai risiko yang ditimbulkan mainan yang terhubung.
BACA BERIKUTNYA: Bagaimana pemerintah dapat menggunakan mainan pintar untuk memata-matai Anda
