image

Onderzoeker vindt privacylek in slim speelgoed Fisher-Price

dinsdag 2 februari 2016, 16:18 door Redactie, 3 reacties

Een beveiligingsonderzoeker heeft een privacylek in slim speelgoed van Fisher-Price ontdekt waardoor kwaadwillenden allerlei informatie over kinderen konden achterhalen en de werking van het speelgoed konden manipuleren. De problemen bevonden zich in de Fisher-Price Smart Toy.

Dit zijn speelgoeddieren voorzien van online functionaliteit en een bijbehorende mobiele app voor ouders. Uit onderzoek bleek dat het systeem van Fisher-Price dat met het speelgoed communiceert verzoeken niet goed controleerde. Een aanvaller kon daardoor verzoeken naar Fisher-Price sturen die eigenlijk niet zouden moeten worden uitgevoerd. Doordat dit wel gebeurde was het voor een onderzoeker van beveiligingsbedrijf Rapid7 mogelijk om allerlei gevoelige gegevens te achterhalen.

Zo konden alle klanten en kindprofielen worden achterhaald, waaronder hun naam, geboortedatum, geslacht, taal en met welk speelgoed ze spelen. Ook was het mogelijk om kindprofielen onder een klantaccount aan te maken, te wijzigen of te verwijderen en kon het speelgoed aan een ander account worden gekoppeld. Op deze manier kon een aanvaller de ingebouwde functionaliteit van het speelgoed 'kapen' en acties laten uitvoeren die het kind niet had bedoeld. Verder was het ook mogelijk om de status te achterhalen of een ouder de mobiele app actief gebruikte en of kinderen wel met hun speelgoed speelden.

Vorig jaar november werd Fisher-Price ingelicht. Op 19 januari werden de problemen verholpen, waarop nu de details openbaar zijn gemaakt. Rapid7 stelt dat het onderzoek bedoeld is om de aanloopproblemen van het Internet of Things met betrekking tot informatiebeveiliging te onderstrepen. "Hoewel veel slimme en bruikbare ideeën worden bedacht, moet dit zorgvuldig worden afgewogen tegen de potentiële risico's van dergelijke technologie."

Reacties (3)
02-02-2016, 19:56 door karma4
lek speelgoed is kennelijk niet interessant voor de nerds. Of is het te gewoon om je er druk over te maken?
02-02-2016, 22:58 door Anoniem
Waarom noem je regelmatig de bijdragers aan de site "nerds"? Helpt het in de dialoog, of lucht het vooral op?
03-02-2016, 19:27 door karma4
Door Anoniem: Waarom noem je regelmatig de bijdragers aan de site "nerds"? Helpt het in de dialoog, of lucht het vooral op?
Er zijn nogal wat reaguurders die geen oog oog voor datagovernance datasecurity als holostisch plaatje zien.
Hun reacties komen voort uit antipathie dan wel uit een eigen geloof. Dat is uiteindelijk schadelijk voor dat grotere geheel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.