Säkerhetsfirma Snabb7 har avslöjat sårbarheter i ett antal barnprodukter, även om företaget hävdar att de nu har åtgärdats.
Rapid7 upptäckte en sårbarhet i Fisher Price Smart Toy, en serie gosiga mjuka björnar avsedda att utbilda och engagera barn. Leksakens ”webtjänstsamtal (API) verifierade inte avsändaren” av meddelanden på ett korrekt sätt”, avslöjade rapporten, vilket innebär att en angripare kunde skicka förfrågningar till enheten utan tillstånd.
Specifikt var det möjligt att få fram barnets namn, födelsedatum, kön, språk och vilka leksaker de har lekt med, skapa, redigera eller ta bort barnprofiler på ett konto, ändra leksaker som är relaterade till ett konto, ta reda på om en förälder använder sin tillhörande mobilapp och tittar på köpen som gjorts av en kund, poäng för spel som spelas på leksaken och vilka spelpaket som har laddats ner.
”Det är tydligast att möjligheten för en obehörig person att få ens grundläggande detaljer om ett barn (t.ex. deras namn, födelsedatum, kön, talat språk) är något som de flesta föräldrar skulle vara oroade över,” Mark Stanislav, chef, globala tjänster på Rapid7, sa i sin blogg.
”Även om namn och födelsedagar i huvudsak är icke-hemliga uppgifter, kan dessa senare kombineras med en mer komplett profil av barnet för att underlätta hur många sociala ingenjörer eller andra skadliga kampanjer som helst mot antingen barnet eller barnet. barns vårdgivare.”
HereO GPS-klockan är också öppen för attacker, förklarade Rapid7.
”Genom att missbruka den här sårbarheten kan en angripare lägga till sitt konto i vilken familjs grupp som helst, med minimala meddelanden om att något har gått fel. Dessa meddelanden visade sig också kunna manipuleras genom smart social ingenjörskonst genom att skapa angriparens ”riktiga namn” med meddelanden som ”Detta är bara ett test, vänligen ignorera.” tillade Stanislav.
När väl utnyttjandet har attackerats kan information inklusive varje familjemedlems plats eller platshistorik avslöjas och kan användas för att missbruka plattformen.
Både Fisher Price och HereO sa att de har fixat de sårbarheter som upptäckts av Rapid7. Det fungerar dock som en skarp varning till både föräldrar och tillverkare.
”Mängden personuppgifter som konsumenter villigt tillhandahåller till leverantörer kan äventyra deras personliga integritet och säkerhet när de inte skyddas och kontrolleras ordentligt”, sa Stanislav.
”Tillgång till individers personligt identifierbara information, Internet-anslutna enheter i deras hem, och potentialen för anonym interaktion med barn är alla problem som måste åtgärdas under tillväxten av Internet of Things. När leverantörer fortsätter att förnya sig på marknaden för uppkopplade leksaker måste ytterligare fokus läggas på att säkra användarnas integritet och säkerhet.”
Detta är den senaste i en lång rad av sårbarheter som finns i barnleksaker. Under de senaste månaderna, VTechs utbildningsplattform hackades, liksom Hello Barbie, som kunde användas för att spionera på barn.
Säkerhetsexperter har nu varnat föräldrar att vara medvetna om risken anslutna leksaker.
LÄS NÄSTA: Hur regeringen kunde använda smarta leksaker för att spionera på dig
