您是否应该冒险购买当前提供的儿童智能玩具?

随着年底假期的临近,许多安全研究人员,消费者团体甚至政府警告不要购买特定产品,或者至少购买 努力阅读有关潜在风险的信息 在购买之前。

智能玩具风险

最新研究

在过去的大约一年中,安全研究人员进行了测试 许多 聪明 玩具,并在安全和隐私部门找到了他们。甚至联邦调查局 努力教育消费者 关于此类玩具的潜在危险。

最新警告来自 德国联邦网络管理局 英国消费群 哪一个? 和几个姐妹消费者组织。

Furby Connect的安全漏洞

哪一个?已要求信息安全性Context IS评估流行的Furby Connect说话玩具的安全性。

Furby Connect由孩之宝(Hasbro)制造,有些则带有智能手机应用程序,该玩具可以将玩具与互联网和孩之宝连接起来’的AWS终端节点,从中下载更新和新的可下载内容(歌曲,舞蹈和Furby Connect要执行的动作)。

“The Furby Connect’它的前身Furby Boom也带有一个附带的应用程序,但是它与Furby之间的通信是通过高频音频实现的。这次,孩之宝(Hasbro)为Furby Connect配备了低功耗蓝牙(BLE)连接,从而使其能够与配套应用程序更可靠地接口,”研究人员解释说。

在内容更新期间成功嗅探BLE连接之后,他们发现了许多潜在的安全隐患。

“马上,应用程序或Furby Connect都没有使用任何标准的蓝牙LE安全功能(例如,经过验证的配对或链接加密)。这意味着在通信范围内的任何人都可以拦截未加密的数据包,注入自己的内容或与玩具建立自己的连接–所有这些都不需要用户或攻击者进行任何物理交互,” they 注意到的.

“此外,我们还观察到,除了涉及接收[专有] DLC更新的服务外,Furby Connect还公开了许多服务,包括其UUID与通常与Nordic Semiconductor空中无线直接固件更新服务相关的UUID相匹配的服务。 (DFU OTA。)北欧半导体设备通常使用它来通过BLE连接接收固件更新,并且具有较新的版本(支持基于签名的固件更新验证)和较旧的版本(不支持’t。)UID与旧版本匹配,这意味着理论上范围内的任何人都可以连接到该设备,并将其自己的未签名的固件更新推送到该设备。”

他们甚至成功地使玩具播放特定的音频文件并在Furby中显示图形’的眼睛。而且,即使他们没有’他们没有足够的时间来找到一种将Furby变成监听设备的方法,他们认为可以通过重新设计固件并将其推入玩具(没有固件更新认证)来实现这一目标。

制造商’s reaction

孩之宝对报告做出了回应,称他们“精心设计了Furby Connect玩具和Furby Connect World应用程序以适应儿童’s privacy laws,” and that they’ve委托第三方对两者进行安全性测试。

他们淡化了玩具和应用程序被黑客入侵的危险。

“而研究人员在哪?确定了操作Furby Connect玩具的方法,我们认为这样做需要紧密接近玩具,并且需要满足许多非常特定的条件才能获得研究人员描述的结果哪一个?包括重新设计Furby Connect玩具,创建新固件,然后更新固件,这需要在Furby Connect玩具处于蓝牙状态时处于蓝牙范围内。‘woke’州。要对产品进行反向工程以及创建新固件,需要进行大量工程设计,” they said.

他们还补充说,玩具和应用“并非旨在收集用户’名称,地址,在线联系信息或允许用户创建个人资料以允许孩之宝亲自识别他们,并且体验不会记录您的声音或以其他方式使用您的设备’s microphone.”

分享这个