ΑρχικήsecurityΝέα κενά ασφαλείας σε IoT Έξυπνα Παιχνίδια και παιδικά GPS Ρολόγια

Νέα κενά ασφαλείας σε IoT Έξυπνα Παιχνίδια και παιδικά GPS Ρολόγια

Θέματα ασφάλειας και περί προστασίας της ιδιωτικής ζωής επηρεάζουν τα IoT Έξυπνα παιχνίδια της Fisher-Price και τη σειρά παιδικών GPS ρολογιών της hereO, όπως ανακάλυψαν οι ερευνητές της Rapid7.

Η Fisher-Price Smart Toy είναι μια σχετικά νέα γραμμή χνουδωτών παιχνιδιών που μπορεί να αλληλεπιδράσει με τα παιδιά -βασισμένο σε δυναμική εκχώρηση, ακόμη και να μάθουν από τις εμπειρίες τους. Το παιχνίδι μπορεί να συνδεθεί στο διαδίκτυο για να επιταχύνει τη διαδικασία της μάθησης, αλλά οι γονείς μπορούν και να παρακολουθούν την κατάσταση, χρησιμοποιώντας μια εφαρμογή στο κινητό μέσω του τοπικού δικτύου WiFi τους.

Νέα κενά ασφαλείας σε IoT Έξυπνα Παιχνίδια και παιδικά GPS Ρολόγια

Οι ερευνητές  της Rapid7 ανακάλυψαν ότι τα έξυπνα παιχνίδια χρησιμοποιούσαν ένα ανεπαρκώς ασφαλή API, όταν επικοινωνούσε με τους διακομιστές της Fisher-Price, ενώ ήταν συνδεδεμένο στο Internet.

«Οι κλήσεις της Υπηρεσίας Web (API)  της πλατφόρμας δεν εξακρίβωναν κατάλληλα τον αποστολέα των μηνυμάτων, επιτρέποντας σε έναν επίδοξο εισβολέα να αποστείλει αιτήματα τα οποία δεν θα έπρεπε να επιτρέπονται υπό ιδανικές συνθήκες λειτουργίας», εξηγούν οι ερευνητές.

Έτσι, θα επέτρεπε σε έναν εισβολέα να θέσει υπό αμφισβήτηση το API και λαμβάνει απαντήσεις που δεν θα έπρεπε να πάρει. Οι επιτιθέμενοι θα μπορούσαν να έχουν αποκαλύψει μια λίστα όλων των πελατών του κατασκευαστή, όλα τα προφίλ των παιδιών και το είδος του παιχνιδιού που σχετίζεται με κάθε λογαριασμό και κάθε παιδί.

Προσωπικά στοιχεία, όπως το όνομα του παιδιού, η ημερομηνία γέννησής του, το φύλο, η γλώσσα και ήταν επίσης διαθέσιμα, σε συνδυασμό με την τρέχουσα κατάσταση του παιχνιδιού (αν το παιδί παίζει με αυτό ή όχι).

Επιπλέον, οι επιτιθέμενοι θα μπορούσαν να διαγράψουν τα προφίλ του παιχνιδιού και να αλλάξουν τα παιχνίδια από ένα λογαριασμό σε έναν άλλο, ανταλλάσσοντας τη συμπεριφορά τους και δημιουργώντας σύγχυση στα παιδιά με λάθος απαντήσεις.

Τα θέματα υπέπεσαν στην αντίληψη της Fischer-Price κατά τα μέσα Νοεμβρίου και διορθώθηκαν κατά τα μέσα Ιανουαρίου, αυτού του χρόνου.

Το δεύτερο ζήτημα που ανακάλυψαν οι ερευνητές ήταν στην GPS πλατφόρμα της hereO, ένα έργο που χρηματοδοτείται από την Indiegogo, η οποία ξεκίνησε τη διακίνηση των προϊόντων της σε υποστηρικτές του έργου μόλις πριν ένα μήνα.

Η hereO είναι μια οικογένεια GPS-enabled παιδικών ρολογιών που έρχονται με μια σειρά από εφαρμογές για κινητά που επιτρέπουν στους γονείς και σε άλλα μέλη της οικογένειας να εντοπίζουν τη θέση του παιδιού τους σε όλη την πόλη.

Οι εφαρμογές για κινητά της hereO χρησιμοποιούν την έννοια των “κύκλων” για να διαχειριστείτε τα μέλη της οικογένειας που επιτρέπονται και είναι αξιόπιστα για να εντοπίζουν μέσω του GPS ένα παιδί ή μια ομάδα.

Οι ερευνητές της Rapid7 ανακάλυψαν ότι το API της εφαρμογής περιείχε ένα θέμα παράκαμψης ελέγχου ταυτότητας που επέτρεψε στους επιτιθέμενους να ζητήσουν και στη συνέχεια να χορηγήσουν οι ίδιοι την πρόσβαση στον οικογενειακό κύκλο.

Με αυτόν τον τρόπο, ο εισβολέας θα πρέπει να είχε πρόσβαση σε δεδομένα, όπως η τοποθεσία του παιδιού σε πραγματικό χρόνο, στις προηγούμενες θέσεις του και τη θέση των άλλων μελών της οικογένειας μέσω του GPS των smartphones τους.

Το πρότζεκτ hereO διορθώθηκε από αυτά τα ζητήματα στις 15 Δεκεμβρίου 2015, αφότου οι ερευνητές της Rapid7 ενημέρωσαν την ομάδα ασφάλειας της για το θέμα προς το τέλος Οκτωβρίου.

[su_youtube url=”https://www.youtube.com/watch?v=hlFH_bdrGMs” width=”580″ height=”380″]

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS