圣诞将至,你敢给孩子买芭比娃娃吗?

       圣诞将至,你敢给孩子买芭比娃娃吗?

  美泰公司(Mattel)生产的Hello Barbie 终于在商场上架了,但安全专家却提出了芭比娃娃会涉及一些安全和隐私问题。Hello Barbie是ToyTalk公司开发的一个新系列。

  智能芭比娃娃:Hello Barbie

  ToyTalk是2011年成立的一个初创公司,旨在打造与人工智能siri结合的儿童玩具。Hello Barbie是它与Mattel公司展开合作的第一款产品,它内置了麦克风,支持WiFi连接,借助ToyTalk开发的智能语音系统,能分析小朋友的语言并做出“符合逻辑”的回答。

  今年二月份的时候,Register曾报道过Hello Barbie中存在安全和隐私问题;现在Hello Barbie已经可在商场中买到,但是安全研究员却还是在玩具中发现了一些安全问题。

   圣诞将至,你敢给孩子买芭比娃娃吗?

  “联网的Barbie玩具有一个麦克风、扬声器、一个小的嵌入式计算机(附着一个可以维持一小时的电池)、一个WiFi硬件。当你按下皮带扣上的按钮时,Barbie就会瞬间清醒并提出一个问题,开关打开时麦克风也会随之打开。”

  上周安全专家Matt Jakubowski解释道,连接WiFi的Hello Barbie可被入侵,泄露用户的WiFi名称、账户ID、玩具中的MP3文件。

  由于这款玩具具有智能回答儿童问题的功能,它可以同时记录下这些数据,并发送回ToyTalk公司。有专家指出这项行为侵犯儿童隐私,家长可窃听儿童隐私,不法分子也可以利用玩具中的漏洞窃听他们的隐私。

  “我们还可以将用户的服务器换成我们自己的服务器,做所有我们想做的事情,而这一切也只是时间问题。”

  ToyTalk反驳安全人员的质疑

  ToyTalk CEO Oren Jacob对Matt Jakubowski提出的安全问题给予如下回应:

  “有研究员指出发现一些设备数据并声称这是hack。尽管研究者用于发现数据的路径很不显眼也不是用户友好型的,需要着重提出的是,所有这些信息都可通过Hello Barbie Companion 应用程序直接得到。据我们所知,没有用户数据、Barbie文件和安全隐私保护功能被入侵过。”

  Jakubowski称窃取用户账号ID非常容易,但是攻击者还需要获取密码才能登录Hello Barbie账户。然而获取用户密码也不难,利用鱼叉式钓鱼攻击或者社工技术就可以窃取到。但是ToyTalk的安全专家则持不同的态度,认为这种情景是基本不可能实现的。

  无商业化童年运动(CCFC)要求Hello Barbie玩具从市场上下架,并递交了一份6000人的请愿书。Hello Barbie是一款可怕的玩具,因为其威胁着儿童的隐私,威胁着儿童的幸福和创造力。“我们必须停止美泰公司和ToyTalk公司‘侦查’儿童的私人玩乐,停止大量生产这些‘窃听者’。”

  即使Hello Barbie今天是安全的,但这不能表示它明天同样安全。安全专家将会对软件的组件进行逆向工程,以找出存在的安全漏洞。

  具体的安全问题分析请关注@SomersetRecon的twitter!

原文地址:https://www.77169.com/news/HTML/20151203094728.shtm

1

相关文章

发表评论

电子邮件地址不会被公开。