安全研究人员在LeapFrog受欢迎的儿童LeapPad Ultimate平板电脑中发现了严重的安全漏洞,这些漏洞可能允许黑客通过设备的内置聊天应用程序“宠物聊天”跟踪孩子的位置并与他们交谈。
来自Checkmarx的研究人员使用了一个名为WiGLE的网站,该网站允许任何人通过搜索包含“PetChat”的SSID来搜索孩子的位置,因为该应用程序在使用时创建了Wi-Fi ad-hoc连接。然后可以在公共Wi-Fis和跟踪的MAC地址上发现位置。
发现的另一个问题是,Pet Chat不需要父母和孩子的设备之间的任何身份验证,这意味着半径100英尺内的任何人都可以通过应用程序向孩子发送消息。
将这两者结合在大城市可能会产生可怕的后果。研究人员证明,邪恶的攻击者可以轻易地扫描城市,寻找人口密集的地方,并发送诸如“让我们一起去!一起玩”等信息。
在一个单独的漏洞中,研究人员证明,同样的设备也容易受到使用Wi-Fi Pumpkin(一种恶意接入点框架)的中间人(MiM)攻击。
使用Wi-Fi Pumpkin,攻击者可以欺骗现有的Wi-Fi网络,例如餐馆,然后强制已经连接到原始网络的用户进入攻击者创建的欺骗用户。
LeapPad设备特别容易受到此攻击,因为它们的传出流量未通过HTTPS加密,而是使用明文HTTP协议,允许攻击者从设备窃取敏感信息,包括信用卡信息,帐户余额,名称和地址。父母。此外,孩子的姓名,性别,出生年份和出生月份也是可收获的。
应用安全研究团队负责人David Sopas说:“我们在这项研究中发现的漏洞可能会给父母带来令人担忧的情况,关于他们的孩子使用LeapPad。”“LeapFrog确实采取了一些措施来保护这些平板电脑,以保护儿童。但是,只有少数漏洞可以结合起来制造一些非常有害的攻击结果。”
这些问题突出了一个一致的趋势,即支持物联网的设备只是没有在制造商优先考虑的最前沿建立安全性。
“物联网设备通常是网络中的薄弱环节,因为制造商并没有考虑安全性而设计它们,消费者没有工具或知识使他们能够在购买后保护设备,”Cody Brocious说道。 HackerOne的黑客教育。
“安全专家多年来一直警告不安全智能家居助手,连接儿童玩具和婴儿监视器,烟雾探测器,门锁,智能摄像头,智能电视,智能扬声器,可穿戴健康追踪器和连接洗衣机所带来的安全风险”他加了。
当Brocious说专家一直警告世界有关无安全的物联网设备时,这并不值得轻描淡写。2015年,IT专业人员首次报道了一个可以用来窥探儿童,通过劫持玩偶麦克风来聆听他们的对话的可玩的芭比娃娃。
两年后的2017年,据透露,该行业尚未齐心协力解决这一令人担忧的问题。研究表明,七分之七最受欢迎的物联网儿童玩具中有四分之一存在安全漏洞,黑客可以直接与孩子交谈。
LeapFrog修补了Checkmarx带给他们的所有漏洞,Checkmarx表示该公司展示了“闪电般快速响应”,并完全从所有设备中删除了Pet Chat。
还没有评论,来说两句吧...