費雪價格玩具和兒童手表可以被黑客入侵

安全公司Rapid7發現了一些兒童產品的漏洞，盡管該公司聲稱它們現在已被修補。Rapid7在Fisher Price Smart Toy中發現了一個漏洞，這是一系列可愛的軟熊，聲稱可以教育和吸引兒童。該報告透露，該玩具的“網絡服務(API)調用未正確驗證郵件的發件人”，這意味著攻擊者可以在未經授權的情況下向設備發送請求。

具體而言，可以獲取孩子的姓名，出生日期，性別，語言以及他們玩過的玩具，創建，編輯或刪除帳戶中的兒童個人資料，更改與帳戶相關的玩具，查明是否為父母正在使用他們相關的移動應用程序，查看客戶購買的商品，玩具上玩游戲的分數以及已下載的游戲包。

“最清楚的是，未經授權的人獲得有關孩子的基本細節(例如他們的姓名，出生日期，性別，口語)的能力是大多數父母會關注的事情，”Mark Stanislav，全球服務經理Rapid7在他的博客中說。“雖然具體而言，名稱和生日名義上是非秘密數據，但這些數據可以在以后與更完整的兒童資料相結合，以便促進針對兒童或兒童的任何數量的社會工程或其他惡意活動。孩子的照顧者。“

Rapid7解釋說，HereO GPS手表也可以進行攻擊。“通過濫用此漏洞，攻擊者可以將他們的帳戶添加到任何家庭的群組中，并且通知任何出錯的通知。這些通知也可以通過創建攻擊者的”真實姓名“通過聰明的社交工程進行操縱有這樣的消息，'這只是一個考驗，請忽略。'“Stanislav addesd。

一旦攻擊被攻擊，可以發現包括每個家庭成員的位置或位置歷史的信息，并且可以用于濫用平臺。

Fisher Price和HereO都說他們已經修復了Rapid7發現的漏洞。然而，它對父母和制造商都是一個嚴厲的警告。“如果沒有得到適當的保護和控制，消費者愿意向供應商提供的個人數據量可能會使他們的個人隱私和安全受到威脅，”斯坦尼斯拉夫說。“訪問個人的個人身份信息，家中互聯網設備以及與兒童匿名互動的可能性都是物聯網發展過程中需要解決的問題。隨著供應商不斷在市場上進行創新連接玩具時，必須注意確保用戶的隱私和安全。“

這是兒童玩具中發現的一系列漏洞中的最新一例。在過去幾個月里，偉易達的教育平臺被黑客攻擊，Hello Barbie也被用來監視兒童。安全專家現在警告家長要注意連接玩具帶來的風險。