連線芭比娃娃發現漏洞,所幸已經修補

作者 | 發布日期 2015 年 12 月 07 日 18:40 | 分類 物聯網 , 資訊安全 follow us in feedly
Hello Barbie Doll

對自己手持裝置裡的程式說話,可是越來越風行,iPhone 上有 Siri,微軟也推出 Cortana,也不能怪小孩會跟有 AI 的玩偶說話了。但是說話娃娃可能因為資安漏洞而被駭客入侵。生產芭比娃娃的美泰兒(Mattel),不只有先前揭露的隱私麻煩,還有資安漏洞。



會說話和網路連線的芭比哈囉芭比,售價 74.99 美元,採用 Wi-Fi 連線到後端的伺服器,運用語音辨識技術將錄下的小孩話語分析後,即時回答出來。背後驅動其對話技術的公司 Toy Talk,最近與資安公司 Bluebox 和獨立資安研究員 Andrew Hay 合作,好好找出哈囉芭比可能的資安漏洞。11 月中的時候 Bluebox 已經找出不少可能的資安漏洞,在 Bluebox 的部落格文章指出哈囉芭比 App 有以下 3 項風險:

  1. 認證憑證可能被駭客利用
  2. 芭比會連到任何一個含有「Barbie」字樣的不安全網路連線
  3. 有未使用的程式碼,有可能增加攻擊的機會

而在伺服器這端,則是以下兩項風險:

  1. 客戶端的認證可以被 App 以外的使用者,像是駭客拿來攻擊伺服器
  2. ToyTalk 的伺服器存在 POODLE 攻擊漏洞

當 Bluebox 跟 ToyTalk 提及這些漏洞,相關的漏洞也已經很快修好了。哈囉芭比的例子顯示,小孩的童言童語可能拿來分析投放廣告影響小孩,而且有資安漏洞。我們看到物聯網的安全性還需要多多加油,唯有安全性問題解決了,才能讓物聯網的成果開枝落葉。

發表迴響