智能玩具后端服务器中的缺陷将孩子及其家人面临风险
用户等待可能的Twitter Feed更改
世界上最大的太阳能电厂居住,将为1.1米的人提供电力
KB 3123862令人兴趣的类似微软早期获得Windows 10补丁
美国政府希望大幅增加网络安全的支出
英国失踪信息专员的奇怪案例
理事会必须弥合数字差距保持相关性
监狱服务与欧姆州的手机阻滞剂进行了测试
事件互联网占IT预算的四分之一,索赔沃达丰
关于G-Cloud Datacentre Investments的Memset Lepent'可怜的回报'
Microsoft释放Azure堆栈,因为。.。一致性
联邦调查局主任恳求技术公司释放犯罪和恐怖中使用的加密数据
美国联邦航空局禁止过旱虫,超级碗32英里
6 Apple Services Tim Cook可以带来Android
案例分析:内部JP Morgan的Glasgow开发人员中心
政府可以利用您的IOT小工具,并使用您的智能设备来窥探您
欧洲科学界寻求支持5.3欧元的混合云构建
谷歌并没有滥用其在英国法院规则的街头案件中的位置
Allo,Allo:Google I / O揭示了类似Microsoft的功能集
寻求新的收入,AT&T和Verizon Eye Internet的东西
案例分析:RémyCointreau推动安全性和生产力
亚马逊网络服务尼斯的萨斯萨斯告诉意大利软件开发人员
Brexit和宽带:英国基础设施的繁荣或萧条?
Mozilla(和Tardirade)说,智能手机的Firefox操作系统已停止
KB 2881029,3039794,2920727抛出虚假的VBA,'办公自动化'错误
MI5和MI6如何收集您的个人数据进行监视
Neutrino Exproit Kit有一种检测安全研究人员的新方法
欧元锦标赛网络交通尖峰亮点OTT BOOM
使用三星连接汽车,您的车很快就会运行Tizen
CIO采访:Lee Edwards,英国图书馆首席技术官
网络攻击至少三个亚洲银行共享恶意软件链接
戴尔将保护PC的启动层,平板电脑
澳大利亚数据泄露的平均成本降低并不是舒适的迹象
Oracle在亚太地区的中型公司销售云销售
澳大利亚的NAB银行通过数据分享指责“违反”客户
Mozilla在手机上设置Firefox OS的杀戮日期
存储Xerox将其业务分为单独的文件和BPO公司
IBM推动BlockChain,提供基于云的服务
最新的Android Banking Trojan,Xbot,也是勒索营件
戴尔为中档用户提供超音架架构
为地标听取到欧盟 - 美国数据转移的日期
大多数网络安全策略忽略了攻击者真正工作的方式
github企业即将到来bluemix
维珍媒体使用Salesforce来构建全渠道销售
特拉维夫证券交易所中型函数与ERP
圣战者的数字工具揭示了
HPE为Cloud28 + Marketplace添加了对Microsoft,VMware和Docker的支持
OpenReach宣布中小企业FTTP服务推出
Datentre Operators警告公共云威胁到长期的共同位置成功
机器人的睡前故事可以教他们成为人类
您的位置:首页 >电子新闻 >

智能玩具后端服务器中的缺陷将孩子及其家人面临风险

2021-06-16 14:43:52 [来源]:

在过去两年中,安全研究人员表明,许多互联网连接的“智能”设备尚未考虑安全性。它们的后端系统似乎也是如此。

最新示例是由智能玩具制造商经营的Web服务中发现的缺陷,该智能玩具制造商可能会暴露儿童的个人信息和位置。

安全公司Rapid7的研究人员在智能玩具线的智能玩具线和儿童手表中使用了Web应用程序编程接口(API)的严重漏洞。

在智能玩具设备的情况下,研究人员发现制造商的Web服务未正确验证请求发件人。通过公开的API,他们可以枚举所有客户并找到他们的玩具ID,名称,类型和关联的子概要文件;他们可以访问所有儿童的型材,包括他们的名字,出生日期,性别和口语语言;当父母或儿童与他们的玩具互动时,他们可以找到一些与他们的玩具相互作用,可以将某人的玩具与不同的账户相关联,有效地劫持它。

“最明显的是,未经授权的人获得有关孩子的基本细节的能力(例如他们的名字,出生日期,性别,口语)是大多数父母所关注的东西,”Rapid7研究员Mark Stanislav在一个博客中说邮政。“虽然在特定地,名称和生日是名义上是非秘密数据的,但这些可以在后来使用孩子的更完整的个人资料组合,以便于任何数量的社会工程或其他恶意运动反对孩子或其他恶意运动孩子的照顾者。“

这里GPS手表允许家庭成员跟踪彼此的位置和活动,并执行其他互动,如消息传递。平台使用的后端Web服务为邀请一个人提供给现有的家庭组,但未执行正确的验证。

该漏洞可能允许攻击者将流氓账户添加到现有的家庭组,并代表家庭的添加。Stanislav表示,攻击者可以访问每个家庭成员的活动地点,以及位置历史,并且可以滥用其他平台功能。

在Carnegie Mellon University的Cert Divions的帮助下,他们各自的制造商向各自的制造商报告了智能玩具和本领域设备中的漏洞。由于这些都是服务器端问题,因此它们由制造商直接在其服务器上修补,并且不需要实际设备的固件更新。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。