费雪价格玩具和儿童手表可以被黑客入侵

安全公司Rapid7发现了一些儿童产品的漏洞，尽管该公司声称它们现在已被修补。Rapid7在Fisher Price Smart Toy中发现了一个漏洞，这是一系列可爱的软熊，声称可以教育和吸引儿童。该报告透露，该玩具的“网络服务(API)调用未正确验证邮件的发件人”，这意味着攻击者可以在未经授权的情况下向设备发送请求。

具体而言，可以获取孩子的姓名，出生日期，性别，语言以及他们玩过的玩具，创建，编辑或删除帐户中的儿童个人资料，更改与帐户相关的玩具，查明是否为父母正在使用他们相关的移动应用程序，查看客户购买的商品，玩具上玩游戏的分数以及已下载的游戏包。

“最清楚的是，未经授权的人获得有关孩子的基本细节(例如他们的姓名，出生日期，性别，口语)的能力是大多数父母会关注的事情，”Mark Stanislav，全球服务经理Rapid7在他的博客中说。“虽然具体而言，名称和生日名义上是非秘密数据，但这些数据可以在以后与更完整的儿童资料相结合，以便促进针对儿童或儿童的任何数量的社会工程或其他恶意活动。孩子的照顾者。“

Rapid7解释说，HereO GPS手表也可以进行攻击。“通过滥用此漏洞，攻击者可以将他们的帐户添加到任何家庭的群组中，并且通知任何出错的通知。这些通知也可以通过创建攻击者的”真实姓名“通过聪明的社交工程进行操纵有这样的消息，'这只是一个考验，请忽略。'“Stanislav addesd。

一旦攻击被攻击，可以发现包括每个家庭成员的位置或位置历史的信息，并且可以用于滥用平台。

Fisher Price和HereO都说他们已经修复了Rapid7发现的漏洞。然而，它对父母和制造商都是一个严厉的警告。“如果没有得到适当的保护和控制，消费者愿意向供应商提供的个人数据量可能会使他们的个人隐私和安全受到威胁，”斯坦尼斯拉夫说。“访问个人的个人身份信息，家中互联网设备以及与儿童匿名互动的可能性都是物联网发展过程中需要解决的问题。随着供应商不断在市场上进行创新连接玩具时，必须注意确保用户的隐私和安全。“

这是儿童玩具中发现的一系列漏洞中的最新一例。在过去几个月里，伟易达的教育平台被黑客攻击，Hello Barbie也被用来监视儿童。安全专家现在警告家长要注意连接玩具带来的风险。