Chytré hračky, hloupé riziko

Chyby v backendových serverech chytrých hraček vystavují děti i jejich rodiny bezpečnostním rizikům. Zranitelnosti mohou útočníkům zpřístupnit jména dětí, jejich data narození, pohlaví a aktuální lokalizační údaje. Ve spojení s případnými dalšími informacemi by bylo možné vytvořit úplnější profil zneužitelný k sociálnímu inženýrství nebo jiným typům útoků proti dítěti nebo jeho rodičům.

Chytré hračky, hloupé riziko


V průběhu posledních dvou let bezpečnostní odborníci prokázali, že mnoho takzvaně „chytrých“ zařízení připojených k internetu značně pokulhává z hlediska zabezpečení. Zjevně to platí i o backendových serverech, na nichž běží příslušné služby a aplikace.

Nejnověji byly závažné nedostatky odhaleny v systémech výrobců chytrých hraček, konkrétně plyšových zvířátek Smart Toy a dětských hodinek s GPS hereO.

U zařízení Smart Toy výzkumníci zjistili, že web výrobce neověřuje řádně odesilatele požadavku. Prostřednictvím nezabezpečeného API dokázali získat seznam všech zákazníků, ID jejich hraček a názvy a typy profilů jejich dětí, dále mohli přistupovat k profilům všech dětí včetně jmen, dat narození, pohlaví a jazykové vybavenosti, mohli zjistit, zda rodič nebo dítě právě manipuluje s hračkou a podařilo se jim i přiřadit hračku k účtu jiného zákazníka, tedy ji v podstatě ovládnout na dálku.

Hodinky hereO GPS umožňují rodinným příslušníkům navzájem sledovat, kde se právě nachází a co dělají a komunikovat pomocí zpráv. Backendová webová služba poskytovala API pro přizvání další osoby do rodinné skupiny, avšak nedostatečně pozvání a připojení ověřovala.

Slabina umožňovala útočníkovi přidat do existující skupiny libovolný účet a jménem dotčené rodiny potvrdit jeho přijetí. Tím mohl útočník získat přístup k informacím o aktuální poloze každého člena rodiny i historii jeho pohybu a zneužívat další funkce platformy.

Výrobci údajně již chyby opravili přímo na svých serverech a zařízení samotná není nutné nijak aktualizovat.


Úvodní foto: © tiero - Fotolia.com




Komentáře