设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

圣诞将至,你敢给孩子买芭比娃娃吗?

2015-12-2 11:57| 发布者: 随便、先森。| 查看: 888| 评论: 0

摘要: 圣诞节就要到了,你有没有想过要买一个芭比娃娃送给女儿呢?美泰公司(Mattel)生产的Hello Barbie终于在商场上架了,但安全专家却提出了芭比娃娃会涉及一些安全和隐私问题。Hello Barbie是ToyTalk公司开发的一个新 ...

圣诞节就要到了,你有没有想过要买一个芭比娃娃送给女儿呢?

美泰公司(Mattel)生产的Hello Barbie 终于在商场上架了,但安全专家却提出了芭比娃娃会涉及一些安全和隐私问题。Hello Barbie是ToyTalk公司开发的一个新系列。

智能芭比娃娃:Hello Barbie

ToyTalk是2011年成立的一个初创公司,旨在打造与人工智能siri结合的儿童玩具。Hello Barbie是它与Mattel公司展开合作的第一款产品,它内置了麦克风,支持WiFi连接,借助ToyTalk开发的智能语音系统,能分析小朋友的语言并做出“符合逻辑”的回答。

今年二月份的时候,Register曾报道过Hello Barbie中存在安全和隐私问题;现在Hello Barbie已经可在商场中买到,但是安全研究员却还是在玩具中发现了一些安全问题。

“联网的Barbie玩具有一个麦克风、扬声器、一个小的嵌入式计算机(附着一个可以维持一小时的电池)、一个WiFi硬件。当你按下皮带扣上的按钮时,Barbie就会瞬间清醒并提出一个问题,开关打开时麦克风也会随之打开。”

上周安全专家Matt Jakubowski解释道,连接WiFi的Hello Barbie可被入侵,泄露用户的WiFi名称、账户ID、玩具中的MP3文件。

由于这款玩具具有智能回答儿童问题的功能,它可以同时记录下这些数据,并发送回ToyTalk公司。有专家指出这项行为侵犯儿童隐私,家长可窃听儿童隐私,不法分子也可以利用玩具中的漏洞窃听他们的隐私。

“我们还可以将用户的服务器换成我们自己的服务器,做所有我们想做的事情,而这一切也只是时间问题。”

ToyTalk反驳安全人员的质疑

ToyTalk CEO Oren Jacob对Matt Jakubowski提出的安全问题给予如下回应:

“有研究员指出发现一些设备数据并声称这是hack。尽管研究者用于发现数据的路径很不显眼也不是用户友好型的,需要着重提出的是,所有这些信息都可通过Hello Barbie Companion 应用程序直接得到。据我们所知,没有用户数据、Barbie文件和安全隐私保护功能被入侵过。”

Jakubowski称窃取用户账号ID非常容易,但是攻击者还需要获取密码才能登录Hello Barbie账户。然而获取用户密码也不难,利用鱼叉式钓鱼攻击或者社工技术就可以窃取到。但是ToyTalk的安全专家则持不同的态度,认为这种情景是基本不可能实现的。

无商业化童年运动(CCFC)要求Hello Barbie玩具从市场上下架,并递交了一份6000人的请愿书。Hello Barbie是一款可怕的玩具,因为其威胁着儿童的隐私,威胁着儿童的幸福和创造力。“我们必须停止美泰公司和ToyTalk公司‘侦查’儿童的私人玩乐,停止大量生产这些‘窃听者’。”

即使Hello Barbie今天是安全的,但这不能表示它明天同样安全。安全专家将会对软件的组件进行逆向工程,以找出存在的安全漏洞。

具体的安全问题分析请关注@SomersetRecon的twitter!

* 参考来源securityaffairs


鲜花

握手

雷人

路过

鸡蛋

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部