Исследователям из компании Rapid7 удалось вновь доказать, что большая часть «умных» устройств в действительности не являются умными. Экспертами были обнаружены уязвимости в игрушках компании Fisher-Price.
Компания Fisher-Price разработала серию интерактивных плюшевых игрушек. Умные обезьяны и медведи могут общаться с детьми, используя встроенный динамик, а также имеют способность к самообучению. Для ускорения процесса обучения плюшевую игрушку можно подключить к сети. У родителей есть возможность контролировать процесс с помощью мобильного приложения.
Как утверждают исследователи, для взаимодействия с серверами Fisher-Price смарт-игрушки пользуются очень слабым API. При этом не осуществляется полноценная верификация сообщений, вследствие чего хакер может сгенерировать и отправить на сервер запрос, который в результате будет обработан. Взломщик сможет получить доступ к конфиденциальной информации, касающейся ребенка. Его профиль в системе будет доступен постороннему пользователю, как и информация об игрушках, привязанных к данной учетной записи. Персональные данные аккаунта включают в себя имя ребенка, информацию о дате его рождения и сведения о языке интерфейса. Помимо этого, можно просматривать статус игрушек, подключенных к аккаунту, и изменять его, отключая таким образом игрушки от учетной записи.
Специалисты Rapid7 обнаружили данные проблемы еще в ноябре предыдущего года. Fischer-Price разработала исправление для своих интерактивных игрушек, однако оно было выпущено только в середине января этого года.