10月,美泰公司在其经典的Fisher-Price Chatter电話60周年纪念主题活动中提升了该专用设备的蓝牙功能,这就促使很多成人还可以运用它,而且可以开展手机通话。
但科研工作人员发觉,该玩具的蓝牙配对方法存有系统漏洞,这代表着别的故意网络攻击有可能会窃听客户的个人谈话内容。
Pen Test Partners的一个精英团队当月稍早表露,该机器设备中所采用的手机蓝牙设备沒有安全可靠的匹配全过程,当有些人应用Chatter通电话时,附近人就可以监听会话信息。
科学研究工作人员写到:"当消费者在开展语音通话时,它可以接入到一定区域内的其他规定匹配的无线设备,在某种情形下还有可能会对少年儿童和成年人的语音通话开展监听。”
想像那样的一种状况,附近人,例如定居在周边房屋或公寓楼里的隔壁邻居,乃至是外边大街上的人,她们可以将自身的蓝牙音频设备连接到Chatter,并监控该客户。
科学研究工作人员说,虽然手机蓝牙版的玩具是对于成人开展售卖的,但科研工作人员推断,当家长不会再应用它的情况下,很有可能会把它赠给小孩。这代表着,一些欠佳妄图的人也许会在小孩的家中与他或她展开触碰,很可能会导致少年儿童拐骗案子的产生。
另一个玩具的相近系统漏洞
Fisher-Price Chatter的手机蓝牙系统漏洞与Pen Test Partners的分析工作人员发觉的一款名叫My Friend Cayla的少年儿童玩具的系统漏洞很类似,后面一种既是一个少年儿童玩偶公仔,也是一个无线蓝牙耳机。
在Cayla中,手机蓝牙部件中的一个系统漏洞会容许在手机蓝牙范畴内的网络攻击连接蓝牙麦克风设备(如智能机)并操纵小孩的话筒,或根据其音箱与玩娃娃的小孩开展语音通话。
科学研究工作人员说,针对Chatter的手机蓝牙系统漏洞,网络攻击实际上难以同时开展运用,由于该系统漏洞必须有些人抬起耳机或按住免提通话按键,声频作用才会被开启。殊不知,她们并不认为该系统漏洞早已获得了不错的处理,缘故有二。
在其中的一个因素是,假如Chatter电話接入了开关电源,但耳机被挂掉了,假如这时小孩在玩它, Chatter电話极有可能会全自动接通一切打进的电話,随后接入到智能机。这会使智能手机变成了一个声频监听器,在这里全过程中,小孩和爸爸妈妈也没有和电話开展一切互动交流。
另一个状况是,假如联接的智能化手机响了,Chatter电話便会响。科学研究工作人员说,这就代表着网络攻击可以简便地应用两个手机上,一部与Chatter电話匹配,另一部通话第一部手机。假如小孩接通了Chatter电話,就可以创建双重的声频。
科学研究工作人员写到:"大家觉得这也是不能进行的。尤其是以前发觉的Cayla小孩的系统漏洞遭受了顾客维护团队的普遍关心,还收到了丹麦顾客联合会(Forbrukerrådet)和由德国联邦互联网局(Bundesnetzagentur)带头的几个国家的商品限令。”
Pen Test Partner早已通告了Mattel企业。到现在为止都还没对Chatter的安全隐患发帖子,都没有修补这一系统漏洞。
科学研究工作人员写到:"Fisher-Price为什么没有从好几年前就显现出的相近的少年儿童玩具安全隐患中汲取教训呢?"改善一个匹配全过程也许会涉及别的附加的作用,这可能驱使机器设备进到一个容许匹配的方式。
如何防止电話情报活动
科学研究员工在贴子中简述了大家如何测试她们的Chatter手机上是不是会遭受这一系统漏洞的危害。她们还为这些担忧Chatter手机上很有可能被用以监控她们小孩的爸爸妈妈给予了处理对策。
应用手机蓝牙版Chatter的消费者应当保证在没有运用时关闭程序,并且家长应当监管小朋友们应用手机上。
因为一次只有有一部蓝牙手机联接到Chatter电話,如果有一部合理合法的手机上被联接,网络攻击就不能对该手机上开展进攻。因而,科学研究工作人员提议,假如大家带上联接到Chatter电話的智能机离开家,就需要立即关掉Chatter电話的开关电源。
除此之外,据Pen Test Partners称,因为Chatter电話的声频作用仅有在拿出和学会放下耳机或按住免提通话按键时才容许开展监听,法定监护人应自始至终对电話耳机提高警惕。
文中翻譯自:https://threatpost.com/toy-christmas-spying/177288/倘若转截,请标明全文详细地址。