安全公司Rapid7發(fā)現(xiàn)了一些兒童產(chǎn)品的漏洞，盡管該公司聲稱它們現(xiàn)在已被修補。Rapid7在Fisher Price Smart Toy中發(fā)現(xiàn)了一個漏洞，這是一系列可愛的軟熊，聲稱可以教育和吸引兒童。該報告透露，該玩具的“網(wǎng)絡服務(API)調(diào)用未正確驗證郵件的發(fā)件人”，這意味著攻擊者可以在未經(jīng)授權(quán)的情況下向設備發(fā)送請求。

具體而言，可以獲取孩子的姓名，出生日期，性別，語言以及他們玩過的玩具，創(chuàng)建，編輯或刪除帳戶中的兒童個人資料，更改與帳戶相關的玩具，查明是否為父母正在使用他們相關的移動應用程序，查看客戶購買的商品，玩具上玩游戲的分數(shù)以及已下載的游戲包。

“最清楚的是，未經(jīng)授權(quán)的人獲得有關孩子的基本細節(jié)(例如他們的姓名，出生日期，性別，口語)的能力是大多數(shù)父母會關注的事情，”Mark Stanislav，全球服務經(jīng)理Rapid7在他的博客中說。“雖然具體而言，名稱和生日名義上是非秘密數(shù)據(jù)，但這些數(shù)據(jù)可以在以后與更完整的兒童資料相結(jié)合，以便促進針對兒童或兒童的任何數(shù)量的社會工程或其他惡意活動。孩子的照顧者。“

Rapid7解釋說，HereO GPS手表也可以進行攻擊。“通過濫用此漏洞，攻擊者可以將他們的帳戶添加到任何家庭的群組中，并且通知任何出錯的通知。這些通知也可以通過創(chuàng)建攻擊者的”真實姓名“通過聰明的社交工程進行操縱有這樣的消息，'這只是一個考驗，請忽略。'“Stanislav addesd。

一旦攻擊被攻擊，可以發(fā)現(xiàn)包括每個家庭成員的位置或位置歷史的信息，并且可以用于濫用平臺。

Fisher Price和HereO都說他們已經(jīng)修復了Rapid7發(fā)現(xiàn)的漏洞。然而，它對父母和制造商都是一個嚴厲的警告。“如果沒有得到適當?shù)谋Ｗo和控制，消費者愿意向供應商提供的個人數(shù)據(jù)量可能會使他們的個人隱私和安全受到威脅，”斯坦尼斯拉夫說。“訪問個人的個人身份信息，家中互聯(lián)網(wǎng)設備以及與兒童匿名互動的可能性都是物聯(lián)網(wǎng)發(fā)展過程中需要解決的問題。隨著供應商不斷在市場上進行創(chuàng)新連接玩具時，必須注意確保用戶的隱私和安全。“

這是兒童玩具中發(fā)現(xiàn)的一系列漏洞中的最新一例。在過去幾個月里，偉易達的教育平臺被黑客攻擊，Hello Barbie也被用來監(jiān)視兒童。安全專家現(xiàn)在警告家長要注意連接玩具帶來的風險。