Охранная фирма Рапид7 обнаружила уязвимости в ряде детских продуктов, хотя компания утверждает, что сейчас они исправлены.
Rapid7 обнаружил уязвимость в умной игрушке Fisher Price — наборе приятных мягких мишек, предназначенных для обучения и увлечения детей. «Вызовы веб-службы (API) игрушки не проверяли должным образом отправителя сообщений», — говорится в отчете, а это означает, что злоумышленник может отправлять запросы на устройство без авторизации.
См. связанные
В частности, можно было узнать имя ребенка, дату рождения, пол, язык, а также то, какими игрушками он играл, создавал, редактировать или удалять профили детей в учетной записи, менять игрушки, связанные с учетной записью, узнавать, использует ли родитель свои соответствующее мобильное приложение и просмотреть покупки, сделанные покупателем, оценки за игры, в которые играла игрушка, и какие игровые пакеты были приобретены. скачал.
«Наиболее очевидным является возможность постороннего лица получить даже базовые сведения о ребенке (например, его имя, дату рождения, пол, разговорный язык) — это то, что беспокоит большинство родителей», — сказал Марк Станислав, менеджер по глобальным услугам Rapid7, в своей книге. блог.
«Хотя в частности имена и дни рождения номинально не являются секретными фрагментами данных, позже их можно объединить с более полным профилем. ребенка с целью содействия любому количеству социальных инженерий или других злонамеренных кампаний против ребенка или его воспитатели».
GPS-часы HereO также уязвимы для атак, пояснили в Rapid7.
«Используя эту уязвимость, злоумышленник может добавить свою учетную запись в любую семейную группу с минимальным уведомлением о том, что что-то пошло не так. Также было обнаружено, что этими уведомлениями можно манипулировать с помощью умной социальной инженерии. создание «настоящего имени» злоумышленника с помощью таких сообщений, как «Это всего лишь проверка, пожалуйста, игнорируйте». Станислав добавлен.
После атаки на эксплойт информация, включая местоположение каждого члена семьи или историю местоположений, может быть раскрыта и может быть использована для злоупотребления платформой.
И Fisher Price, и HereO заявили, что исправили уязвимости, обнаруженные Rapid7. Однако это служит серьезным предупреждением как для родителей, так и для производителей.
«Объем персональных данных, которые потребители охотно предоставляют продавцам, может поставить под угрозу их личную конфиденциальность и безопасность, если они не защищены и не контролируются должным образом», — сказал Станислав.
«Доступ к личной информации людей, подключенным к Интернету устройствам в их доме и потенциальному анонимного взаимодействия с детьми – это все проблемы, которые необходимо решить в период роста Интернета. Вещи. Поскольку поставщики продолжают внедрять инновации на рынке подключенных игрушек, дополнительное внимание необходимо уделять обеспечению конфиденциальности и безопасности пользователей».
Это последняя из длинной череды уязвимостей, обнаруженных в детских игрушках. За последние несколько месяцев, ВТехОбразовательная платформа компании была взломана, как и Hello Barbie, которую можно было использовать для слежки за детьми.
Эксперты по безопасности предупредили родителей, чтобы они знали о риске, создаваемом подключенные игрушки.
ЧИТАЙТЕ ДАЛЬШЕ: Как правительство может использовать умные игрушки, чтобы шпионить за вами