圣诞将至,你敢给孩子买芭比娃娃吗?

安全
美泰公司(Mattel)生产的Hello Barbie 终于在商场上架了,但安全专家却提出了芭比娃娃会涉及一些安全和隐私问题。Hello Barbie是ToyTalk公司开发的一个新系列。

圣诞节就要到了,你有没有想过要买一个芭比娃娃送给女儿呢?

美泰公司(Mattel)生产的Hello Barbie 终于在商场上架了,但安全专家却提出了芭比娃娃会涉及一些安全和隐私问题。Hello Barbie是ToyTalk公司开发的一个新系列。

[[157972]]

智能芭比娃娃:Hello Barbie

ToyTalk是2011年成立的一个初创公司,旨在打造与人工智能siri结合的儿童玩具。Hello Barbie是它与Mattel公司展开合作的第一款产品,它内置了麦克风,支持WiFi连接,借助ToyTalk开发的智能语音系统,能分析小朋友的语言并做出“符合逻辑”的回答。

今年二月份的时候,Register曾报道过Hello Barbie中存在安全和隐私问题;现在Hello Barbie已经可在商场中买到,但是安全研究员却还是在玩具中发现了一些安全问题。

圣诞将至,你敢给孩子买芭比娃娃吗?

“联网的Barbie玩具有一个麦克风、扬声器、一个小的嵌入式计算机(附着一个可以维持一小时的电池)、一个WiFi硬件。当你按下皮带扣上的按钮时,Barbie就会瞬间清醒并提出一个问题,开关打开时麦克风也会随之打开。”

上周安全专家Matt Jakubowski解释道,连接WiFi的Hello Barbie可被入侵,泄露用户的WiFi名称、账户ID、玩具中的MP3文件。

由于这款玩具具有智能回答儿童问题的功能,它可以同时记录下这些数据,并发送回ToyTalk公司。有专家指出这项行为侵犯儿童隐私,家长可窃听儿童隐私,不法分子也可以利用玩具中的漏洞窃听他们的隐私。

“我们还可以将用户的服务器换成我们自己的服务器,做所有我们想做的事情,而这一切也只是时间问题。”

ToyTalk反驳安全人员的质疑

ToyTalk CEO Oren Jacob对Matt Jakubowski提出的安全问题给予如下回应:

“有研究员指出发现一些设备数据并声称这是hack。尽管研究者用于发现数据的路径很不显眼也不是用户友好型的,需要着重提出的是,所有这些信息都可通过Hello Barbie Companion 应用程序直接得到。据我们所知,没有用户数据、Barbie文件和安全隐私保护功能被入侵过。”

Jakubowski称窃取用户账号ID非常容易,但是攻击者还需要获取密码才能登录Hello Barbie账户。然而获取用户密码也不难,利用鱼叉式钓鱼攻击或者社工技术就可以窃取到。但是ToyTalk的安全专家则持不同的态度,认为这种情景是基本不可能实现的。

无商业化童年运动(CCFC)要求Hello Barbie玩具从市场上下架,并递交了一份6000人的请愿书。Hello Barbie是一款可怕的玩具,因为其威胁着儿童的隐私,威胁着儿童的幸福和创造力。“我们必须停止美泰公司和ToyTalk公司‘侦查’儿童的私人玩乐,停止大量生产这些‘窃听者’。”

即使Hello Barbie今天是安全的,但这不能表示它明天同样安全。安全专家将会对软件的组件进行逆向工程,以找出存在的安全漏洞。

具体的安全问题分析请关注@SomersetRecon的twitter!

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2019-04-03 08:10:17

代码架构信息

2014-06-19 11:30:48

天翼云

2015-12-04 09:38:03

2021-05-05 22:37:20

比特币资产美元

2010-12-03 11:32:22

IT业

2013-07-19 10:27:00

2023-08-03 07:13:59

2012-06-20 15:01:25

iOS开发

2018-12-25 09:27:55

Python圣诞帽程序员

2018-05-08 15:33:38

机器人AI殡葬智能殡葬

2019-09-04 09:42:25

人工智能金融机器人

2021-03-03 23:15:53

数据分析就业辞职

2023-03-08 07:54:26

无核显单通道CPU

2013-11-08 10:21:13

2014-09-19 11:09:08

程序员编程工具

2021-08-05 08:18:02

开源项目 PR

2022-04-13 10:51:22

AR眼镜元宇宙

2016-12-30 11:11:30

儿童编程

2018-05-03 15:46:04

微服务独立交付
点赞
收藏

51CTO技术栈公众号