安全人員:Hello Barbie娃娃存在安全漏洞
責(zé)編:mhshi |2015-12-08 17:19:40美國ToyTalk公司前一陣推出了一款能夠連接Wi-Fi網(wǎng)絡(luò),而且還有配套移動應(yīng)用的Hello Barbie娃娃(你好芭比),上周五有新聞?wù)f這個娃娃可被輕易攻破,而最新的安全研究則顯示,這個娃娃的配套應(yīng)用和云端連接服務(wù)器也存在安全問題。
應(yīng)用安全技術(shù)團隊Bluebox,以及獨立研究人員Andrew Hay揭露稱,該應(yīng)用可被篡改,用于盜取私人信息,包括密碼。同時還發(fā)現(xiàn),應(yīng)用還可以將一臺移動設(shè)備連接到任意不安全的WiFi網(wǎng)絡(luò)下,用于欺騙攻擊、盜取數(shù)據(jù)。
這個配套的應(yīng)用所用的身份憑證可被黑客再度利用。而在服務(wù)器方面,在應(yīng)用以外,客戶端的身份憑證就能被黑客利用,用于探測Hello Barbie云端服務(wù)器的更多漏洞。此外,研究還發(fā)現(xiàn),ToyTalk服務(wù)器域所在云基礎(chǔ)設(shè)施,比較容易受到POODLE攻擊的影響,攻擊者可借此降低連接的安全性,監(jiān)聽傳往服務(wù)器的通訊內(nèi)容,比如來自娃娃上傳的對話內(nèi)容。
Bluebox Labs實驗室已經(jīng)向ToyTalk揭露了Hello Barbie當(dāng)前已知的所有關(guān)鍵安全問題,不少問題已經(jīng)解決。在Bluebox的博客中,安全研究工程師Andrew Blaich表示:“所有已發(fā)現(xiàn)的問題都表明,需要更安全的應(yīng)用部署,以及不止是在一般的移動應(yīng)用中加入自我防御能力,Hello Barbie這樣的IoT設(shè)備應(yīng)用中也需要這樣的特性。這次研究證明,IoT設(shè)備的配套移動應(yīng)用的安全性需要引起高度重視。
下一篇:NCA:計算機犯罪日益年輕化
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧