圣诞节就要到了,你有没有想过要买一个芭比娃娃送给女儿呢?
美泰公司(Mattel)生产的Hello Barbie 终于在商场上架了,但安全专家却提出了芭比娃娃会涉及一些安全和隐私问题。Hello Barbie是ToyTalk公司开发的一个新系列。
智能芭比娃娃:Hello Barbie
ToyTalk是2011年成立的一个初创公司,旨在打造与人工智能siri结合的儿童玩具。Hello Barbie是它与Mattel公司展开合作的第一款产品,它内置了麦克风,支持WiFi连接,借助ToyTalk开发的智能语音系统,能分析小朋友的语言并做出“符合逻辑”的回答。
今年二月份的时候,Register曾报道过Hello Barbie中存在安全和隐私问题;现在Hello Barbie已经可在商场中买到,但是安全研究员却还是在玩具中发现了一些安全问题。
“联网的Barbie玩具有一个麦克风、扬声器、一个小的嵌入式计算机(附着一个可以维持一小时的电池)、一个WiFi硬件。当你按下皮带扣上的按钮时,Barbie就会瞬间清醒并提出一个问题,开关打开时麦克风也会随之打开。”
上周安全专家Matt Jakubowski解释道,连接WiFi的Hello Barbie可被入侵,泄露用户的WiFi名称、账户ID、玩具中的MP3文件。
由于这款玩具具有智能回答儿童问题的功能,它可以同时记录下这些数据,并发送回ToyTalk公司。有专家指出这项行为侵犯儿童隐私,家长可窃听儿童隐私,不法分子也可以利用玩具中的漏洞窃听他们的隐私。
“我们还可以将用户的服务器换成我们自己的服务器,做所有我们想做的事情,而这一切也只是时间问题。”
ToyTalk反驳安全人员的质疑
ToyTalk CEO Oren Jacob对Matt Jakubowski提出的安全问题给予如下回应:
“有研究员指出发现一些设备数据并声称这是hack。尽管研究者用于发现数据的路径很不显眼也不是用户友好型的,需要着重提出的是,所有这些信息都可通过Hello Barbie Companion 应用程序直接得到。据我们所知,没有用户数据、Barbie文件和安全隐私保护功能被入侵过。”
Jakubowski称窃取用户账号ID非常容易,但是攻击者还需要获取密码才能登录Hello Barbie账户。然而获取用户密码也不难,利用鱼叉式钓鱼攻击或者社工技术就可以窃取到。但是ToyTalk的安全专家则持不同的态度,认为这种情景是基本不可能实现的。
无商业化童年运动(CCFC)要求Hello Barbie玩具从市场上下架,并递交了一份6000人的请愿书。Hello Barbie是一款可怕的玩具,因为其威胁着儿童的隐私,威胁着儿童的幸福和创造力。“我们必须停止美泰公司和ToyTalk公司‘侦查’儿童的私人玩乐,停止大量生产这些‘窃听者’。”
即使Hello Barbie今天是安全的,但这不能表示它明天同样安全。安全专家将会对软件的组件进行逆向工程,以找出存在的安全漏洞。
具体的安全问题分析请关注@SomersetRecon的twitter!