智能玩具后端服务器中的缺陷将孩子及其家人面临风险
在过去两年中,安全研究人员表明,许多互联网连接的“智能”设备尚未考虑安全性。它们的后端系统似乎也是如此。
最新示例是由智能玩具制造商经营的Web服务中发现的缺陷,该智能玩具制造商可能会暴露儿童的个人信息和位置。
安全公司Rapid7的研究人员在智能玩具线的智能玩具线和儿童手表中使用了Web应用程序编程接口(API)的严重漏洞。
在智能玩具设备的情况下,研究人员发现制造商的Web服务未正确验证请求发件人。通过公开的API,他们可以枚举所有客户并找到他们的玩具ID,名称,类型和关联的子概要文件;他们可以访问所有儿童的型材,包括他们的名字,出生日期,性别和口语语言;当父母或儿童与他们的玩具互动时,他们可以找到一些与他们的玩具相互作用,可以将某人的玩具与不同的账户相关联,有效地劫持它。
“最明显的是,未经授权的人获得有关孩子的基本细节的能力(例如他们的名字,出生日期,性别,口语)是大多数父母所关注的东西,”Rapid7研究员Mark Stanislav在一个博客中说邮政。“虽然在特定地,名称和生日是名义上是非秘密数据的,但这些可以在后来使用孩子的更完整的个人资料组合,以便于任何数量的社会工程或其他恶意运动反对孩子或其他恶意运动孩子的照顾者。“
这里GPS手表允许家庭成员跟踪彼此的位置和活动,并执行其他互动,如消息传递。平台使用的后端Web服务为邀请一个人提供给现有的家庭组,但未执行正确的验证。
该漏洞可能允许攻击者将流氓账户添加到现有的家庭组,并代表家庭的添加。Stanislav表示,攻击者可以访问每个家庭成员的活动地点,以及位置历史,并且可以滥用其他平台功能。
在Carnegie Mellon University的Cert Divions的帮助下,他们各自的制造商向各自的制造商报告了智能玩具和本领域设备中的漏洞。由于这些都是服务器端问题,因此它们由制造商直接在其服务器上修补,并且不需要实际设备的固件更新。