駭客攻擊聯網玩具的新案例證明它們仍然不安全
這正成為一個年度話題:聖誕節後的幾個星期,有人發現一個“神奇”的聯網玩具實際上是一個巨大的安全和隱私風險,孩子們的安全甚至生命都處於危險之中。
儘管如此,似乎沒有人主動承擔責任。
你的孩子會使用連接到你家無線網絡的在線玩具嗎?如果是這樣的話,下面的內容可能會引起您的極大關注…
德國禁止會說話的卡伊拉娃娃
2017年2月,德國當局決定禁止**這種名為“卡伊拉”的會說話的人氣娃娃。甚至有人建議家長銷燬他們所有的玩具,儘管沒有做出強制執行的決定。
這項禁令的靈感來自於一個玩具中存在漏洞的概念驗證演示,該演示可在全球範圍內獲得。
凱拉是個可愛的主意。通過藍牙和智能**上網,娃娃回答問題,使用語音識別和谷歌。據德國電信監督機構稱,娃娃範圍內的兒童和其他人之間的對話可以被錄音……甚至可以轉發到其他地方。
“A company could also use the toys to target the child or parents with advertising. Furthermore, if the radio link is not properly secured by the manufacturer, the toy can be used by nearby parties to eavesdrop on conversati***.”
但真正的問題是什麼?****的玩具肯定是孩子們學習的好方法嗎?好吧,這是執行:不安全的藍牙連接,基本上。簡言之,這是降低成本——選擇捷徑,而不是確保一個可能改變生活的玩具是健壯的。
你或你的孩子有卡依拉娃娃嗎?我們建議銷燬這樣的設備是太致命了。但是如果你擔心它能保留隱私的細節,我們建議…關掉它。因為,顯然,記錄聲音和談話的任何東西都是一種風險,不僅對兒童,而且對整個家庭都是如此。
數據庫黑客洩露兒童錄音
去年聖誕節,你有沒有給你的後代或朋友的後代買一隻雲貓?
這是一個玩具,一直是一個可怕的數據洩漏的中心,其中他們的主人(和朋友和家人)的聲音已被記錄,存儲在一個不安全的數據庫,並最終洩漏到網上。
只是澄清一下,這是200萬的錄音被竊聽。哦,然後他們被勒索贖金,都是因為CloudPets**商螺旋玩具削減了成本、時間和精力,並將數據存儲在MongoDB數據庫中(我們將忽略他們現在是否應該記錄數據)。
(MongoDB的問題是它在默認情況下是不安全的。需要採取額外的步驟來保護以這種方式存儲的數據。)
但情況變得更糟了。安全研究人員特洛伊·亨特(Troy Hunt)曾多次試圖聯繫CloudPets,以強調黑客攻擊,以及玩具本身缺乏安全性(三個字符、未加密的密碼;測試、暫存和生產數據以及網站都存儲在同一臺服務器上)
整個令人遺憾的故事包括要求比特幣返還數據,一家公司拒絕與研究人員和媒體的任何詢問進行溝通,還有一群家長沒有意識到他們孩子最喜歡的玩具存在網絡安全風險。在撰寫本文時,CloudPets和Spiral Toys還沒有向家長提出任何問題。
無論你是否認為數據被記錄並隨後洩露是一個問題,一個拒絕與任何人就這樣的問題進行接觸的公司不是一個你應該使用其產品的公司。
我們以前都見過
所有這些的問題是,可悲的是,沒有什麼是新的。就像剛剛起步的智能家居產業一樣——誠然,互聯玩具是智能家居的延伸——產品似乎被放在了一起,幾乎沒有考慮安全和隱私等概念。
不,設計師感興趣的唯一概念是利潤和***成本。
早在2015年,我們就看到了無線四直升機無人機是如何被一款相對簡單的軟件入侵的。
一年前,很明顯,不僅兒童電子巨頭VTech遭到黑客攻擊(損失了600萬個兒童數據賬戶),而且他們還將隱私和安全的責任推給了消費者。
在上述每一種情況下,我們都強調了確保您和您孩子的數據保持安全的方法。我們還建議您向智能玩具**商提出更多要求。簡單地說,如果一個連接的玩具不符合基本的安全和隱私要求(安全的數據傳輸,密碼保護),其**商不能提供安全的存儲任何數據收集,那麼你需要忘記這個特定的玩具,並進入下一個。
越來越好了
幸運的是,情況正在發生變化,就像在主流智能家居市場一樣。**商們認識到安全和隱私的需要,併發布了新的、更強大的設備。但要注意那些更便宜的設備,它們的硬件和固件都比較舊。這就是問題在未來幾年將持續存在的地方,因為**商試圖以一小部分價格拋售較舊、不太安全的庫存。
你有一個你關心的玩具嗎?也許你覺得沒有風險?下面告訴我們你的想法。
圖片來源:Sergey Chmel viaShutterstock.com網站
- 發表於 2021-03-15 11:42
- 閱讀 ( 39 )
- 分類:安全
你可能感興趣的文章
所有30億雅虎使用者都遭到了史詩般的駭客攻擊
2016年12月,雅虎透露早在2013年就遭到駭客攻擊。當時有報道稱,這次“未經授權的第三方”的安全漏洞導致與10億個賬戶相關的使用者資料被盜。然而,事實證明,這次史詩般的駭客攻擊比雅虎想象的還要嚴重。 ...
智慧家居駭客:如何設定你的裝置以保持安全
當你想到智慧家居駭客,你可能不會想到漢堡王。事實上,你可能根本不會想到智慧家居駭客攻擊。為什麼會有人想進入你的恆溫器或門鈴? ...
離線電腦被駭客攻擊的5種方式
... 電視節目《機器人先生》向廣大觀眾介紹了網路安全和駭客攻擊。它甚至因為對駭客行為、網際網路文化和駭客工具的準確描述而贏得了infosec社群的青睞。與主題相似但廣受嘲笑的1995年電影《駭客》不同,機器人先生不遺餘...
勒索軟體的新領域:以下是2017年的目標
... 記住,駭客在2015年侵入了美國的空中交通管制系統。它導致航班停飛,將乘客的旅行記錄置於危險之中,給航空業造成數百萬美元的損失。在英國,發現駭客闖入空中交通管制...
特斯拉安全嗎?駭客如何攻擊聯網汽車
...讀取附近遙控鑰匙的訊號,然後複製一個副本。這意味著駭客有可能站在特斯拉車主附近,在他們不知情的情況下複製他們的鑰匙,然後偷走汽車。特斯拉很快用一種新型的遙控鑰匙解決了這個問題,消除了這個漏洞。 ...
駭客威脅醫療物聯網裝置:以下是如何保證它們的安全
每天都有這麼多裝置連線到網際網路,駭客攻擊的風險總是存在的。但對於使用醫療物聯網裝置的人來說,這是一個更嚴重的威脅。 ...
如何在使用智慧家居裝置時保持安全和隱私
雖然物聯網可以給你帶來很多便利,但它也可以讓駭客更容易訪問你的裝置。因此,重要的是要確保你帶進家裡的小玩意在開啟之前是安全的。 ...
7可怕的物聯網駭客和真正發生的剝削
...家賭場意外發生資料庫漏洞。據一位商業內幕人士報道,駭客透過一個智慧溫度計成功進入賭場網路,該溫度計監測大廳一個水族館的水溫。 ...
物聯網殭屍網路的興起(以及如何保護您的智慧裝置)
...你的裝置,但它也為那些想利用你的裝置謀取私利的惡意駭客提供了一種途徑。 ...
如何知道你的嬰兒監視器是否對你的家庭構成安全威脅
...年,紐約消費者事務部就收到多份報告,稱嬰兒監視器是駭客攻擊目標。這些監視器被用來對嬰兒尖叫,威脅性地嘲笑,或播放恐嚇和恐怖的聲音。 ...
