パスワードを忘れた? アカウント作成
12608871 story
おもちゃ

IoTバービー人形でさまざまなセキュリティ上の問題が見つかる 11

ストーリー by headless
barbie-on-barbie 部門より
Wi-Fiでクラウドに接続し、AIを使用した会話のできるマテルのバービー人形「Hello Barbie」で、専用アプリやサーバーにさまざまなセキュリティ上の問題が見つかったそうだ(Bluebox Securityのブログ記事The Registerの記事BetaNewsの記事Ars Technicaの記事)。

Hello Barbieは発表当初からプライバシー侵害が懸念されており、11月には実際盗聴などが可能だと報じられていた。一方、Hello Barbieの技術面の開発を担当したToyTalkでは、報じられている「ハック」は人形への物理的なアクセスが必要なものや専用アプリの設定インターフェイスを使用するもので、録音された音声や登録メールアドレス、Wi-Fiパスワードといった情報にアクセスすることはできないと説明している。

モバイルアプリはToyTalkが開発したもので、サーバーもToyTalkの管理下にある。AndroidとiOSに対応するアプリは攻撃者が認証情報の再利用が可能となっており、名前に「Barbie」が含まれる任意のWi-Fiネットワークに接続してしまうという。クライアント証明書の認証情報はアプリ以外でも使用可能で、攻撃者が任意のHello Barbieクラウドサーバーを調べることが可能となる。さらにToyTalkのサーバードメインは、POODLE攻撃の影響を受けやすいクラウドインフラストラクチャ上に置かれていたとのこと。

なお、これらの問題を発見したBlueboxでは公表前にToyTalkへ連絡しており、多くは既に修正済みとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...