Apsaugos įmonė Greitas7 atskleidė daugelio vaikams skirtų gaminių pažeidžiamumą, nors bendrovė teigia, kad dabar jie buvo pataisyti.
„Rapid7“ aptiko „Fisher Price Smart Toy“ pažeidžiamumą – minkštų mielų meškiukų asortimentą, skirtą vaikams lavinti ir sudominti. Žaislo „žiniatinklio paslaugos (API) skambučiai netinkamai patikrino pranešimų siuntėją“, atskleidė ataskaita, o tai reiškia, kad užpuolikas galėjo siųsti užklausas į įrenginį be leidimo.
Žiūrėti susijusius
Konkrečiai, buvo galima sužinoti vaiko vardą, gimimo datą, lytį, kalbą ir su kokiais žaislais jis žaidė, kuria, redaguoti arba ištrinti vaikų profilius paskyroje, pakeisti su paskyra susijusius žaislus, sužinoti, ar tėvai naudojasi savo susietą programą mobiliesiems ir peržiūrėkite kliento pirkinius, su žaislu žaidžiamų žaidimų balus ir kokius žaidimų paketus atsisiųstas.
„Akivaizdu, kad pašalinio asmens galimybė gauti net elementariausius duomenis apie vaiką (pvz., vardą, gimimo datą, lytį, šnekamoji kalba) yra kažkas, dėl ko susirūpintų dauguma tėvų“, – savo pranešime sakė Markas Stanislavas, „Rapid7“ pasaulinių paslaugų vadovas. dienoraštį.
„Nors vardai ir gimtadieniai iš esmės yra neslapti duomenys, vėliau juos būtų galima sujungti su išsamesniu profiliu. siekiant palengvinti bet kokią socialinę inžineriją ar kitas piktavališkas kampanijas prieš vaiką arba vaiką. globėjai“.
„HereO“ GPS laikrodis taip pat yra atviras atakai, paaiškino „Rapid7“.
„Piktnaudžiaudamas šiuo pažeidžiamumu, užpuolikas gali pridėti savo paskyrą prie bet kurios šeimos grupės, minimaliai pranešdamas, kad kažkas nutiko. Taip pat buvo nustatyta, kad šiais pranešimais galima manipuliuoti pasitelkus sumanią socialinę inžineriją sukurti užpuoliko „tikrąjį vardą“ su tokiais pranešimais kaip: „Tai tik bandymas, nekreipkite dėmesio“.“ Stanislav pridėta.
Kai išnaudojimas buvo užpultas, informacija, įskaitant kiekvieno šeimos nario buvimo vietą arba vietovių istoriją, gali būti atskleista ir gali būti naudojama piktnaudžiauti platforma.
„Fisher Price“ ir „HereO“ teigė, kad ištaisė „Rapid7“ atskleistas spragas. Tačiau tai yra aiškus įspėjimas tiek tėvams, tiek gamintojams.
„Asmens duomenų kiekis, kurį vartotojai noriai pateikia pardavėjams, gali kelti pavojų jų asmeniniam privatumui ir saugumui, jei jie nėra tinkamai apsaugoti ir nekontroliuojami“, – sakė Stanislavas.
„Prieiga prie asmenį identifikuojančios informacijos, prie interneto prijungtų prietaisų jų namuose ir potencialių Anoniminis bendravimas su vaikais yra visi klausimai, į kuriuos reikia atkreipti dėmesį augant internetui Daiktai. Pardavėjams ir toliau diegiant naujoves prijungtų žaislų rinkoje, papildomas dėmesys turi būti skiriamas vartotojų privatumo ir saugumo užtikrinimui.
Tai yra naujausias iš daugelio pažeidžiamumų, aptinkamų vaikiškuose žaisluose. Per pastaruosius kelis mėnesius VTechĮ mokymo platformą buvo įsilaužta, kaip ir į „Hello Barbie“, kurią buvo galima naudoti šnipinėjant vaikus.
Saugumo ekspertai dabar perspėjo tėvus žinoti apie galimą pavojų sujungti žaislai.
SKAITYTI KITAS: Kaip vyriausybė galėtų naudoti išmaniuosius žaislus, kad jus šnipinėtų
