АНАЛИЗ НОВОСТЕЙ: Дефекты в Привет Барби были обращены быстро. Ответственное раскрытие от исследователей в области безопасности и быстрый ответ от поставщика помогают риску лимита.С недавним подвергающим риску нарушения VTech миллион родителей и детей, существует увеличенная чувствительность и осведомленность вокруг безопасности подключенных к Интернету игрушек на этих праздниках.
Сегодня, безопасность Bluebox показала дефекты в Привет Барби соединенная игрушка, произведенная ToyTalk. Хорошие новости, тем не менее, – то, что Bluebox ответственно раскрыл проблемы, и ToyTalk действовал быстро, чтобы повторно добиться их.Bluebox не был единственной организацией, смотрящей на безопасность Привет игрушка Барби.
Отчет NBC 25 ноября утверждал многократные проблемы безопасности с Привет Барби.Эндрю Блэйч, ведущий аналитик по вопросам безопасности Bluebox, сказал, что отчет NBC был случайным и не связанным с исследованием его фирмы.«Существует несколько исследователей, смотрящих на Привет Барби от множества различных аспектов», сказал Блэйч eWEEK. «Мы запустили нашу работу в начале ноября с фокуса на мобильном приложении и сетевой связи от куклы.
Мы прошли через ответственное раскрытие, которое занимает время, прежде чем Вы сможете публично раскрыть результаты».Bluebox сотрудничал с независимым исследователем в области безопасности Эндрю Хэем на Привет анализ безопасности Барби. Блэйч объяснил, что Хэй инициировал исследование Барби и втянул Bluebox для помощи со стороной мобильного приложения исследования.
«Мы связались с ToyTalk в середине ноября, и мы получили ответ в течение нескольких часов после контакта с ними», сказал Блэйч. «ToyTalk был чрезвычайно быстр для ответа и начал исправлять проблемы, которые мы нашли в течение того же дня после раскрытия».ToyTalk теперь также имеет программу субсидии ошибки, которая управляется HackerOne, который предоставляет размещенные программы субсидии ошибки организациям и недавно назвал известное светило с открытым исходным кодом Мартена Микоса как CEO компании.«Мы работали с ToyTalk, прежде чем их субсидия ошибки стала достоянием общественности и затем представила нашу работу через него после того, как он действительно получал огласку», сказал Блэйч. «Bluebox всегда следует за ответственным раскрытием при представлении проблем безопасности, которые мы находим, поскольку мы чувствуем, что это – самый надлежащий способ сообщить поставщику о проблеме и дать им время для фиксации его».С точки зрения фактических уязвимостей Bluebox счел проблемы об обоих мобильным приложением, а также серверной стороной Привет платформа Барби.
Привет Барби является интерактивным устройством, которое использует WiFi, чтобы послушать и реагировать на речь ребенка. Блэйч объяснил, что основными вопросами было повторное использование учетных данных для аутентификации с сервером и способностью найти пароль в исходном коде для него.
Кроме того, была проблема с необеспеченной сетью WiFi, которая могла имитироваться соседними атакующими.«На стороне приложения базовая проблема – то, что само приложение способно к тому, чтобы быть вмешивавшимся, так как это испытывает недостаток в поведении самозащиты, которое приводит к вещам как раскрытие пароля», сказал Блэйч.Серверная сторона Привет приложения Барби имела много конфигураций и проблем криптографии, также.
Самая большая проблема – то, что сервер поддерживал SSLv3 и был уязвим для нападения ПУДЕЛЯ. ПУДЕЛЬ Или Дополнение Oracle На Пониженном Прежнем Шифровании, является уязвимостью, сначала раскрытой Google в октябре 2015.
Блэйч объяснил, что, потому что сервер был первоначально уязвим для нападения ПУДЕЛЯ, атакующий мог потенциально послушать на канале передачи и понизить crypto, используемый на том канале для кражи переговоров, идущих с куклы на серверы. Он отметил, что ToyTalk исправил риск ПУДЕЛЯ очень быстро.«Мы были приятно удивлены тем, как быстрый и ответственный ToyTalk обработал сведения», сказал Блэйч. «В то время как были найденные проблемы безопасности, важно также измериться, как быстро компания в состоянии реагировать, ответить и решить вопросы».
Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.