行业新闻与博客

联网玩具暴露智能家居:报告

安全专家警告了联网玩具的一些缺陷,这些缺陷可能使黑客与使用它们的孩子交谈,甚至对智能家居发起攻击。



英国消费者咨询团是哪个?寻求网络安全公司 NCC Group 的帮助,对来自主要零售商 Amazon,Smyths,Argos 和 John Lewis 的七个智能玩具进行监管。



包括 Singing Machine SMK250PP 和 TENVA 的粉红色卡拉 OK 麦克风在内的一些产品,不需要对其蓝牙连接进行基于会话的身份验证。NCC Group 声称,这可能使黑客匿名与他们配对并向其中传输音频-可能令人反感甚至是“操纵性”信息,劝告孩子使用该设备出门。



Vtech 的 KidiGear 对讲机中也存在类似的问题。



“作为这项安全评估的一部分,经过调查的一对对讲机允许儿童在不超过 150 米的范围内相互通信。两对对讲机之间没有相互认证。” NCC 集团继续说道。



“这意味着,如果攻击者购买了同一套玩具,并且处于未配对的通电对讲机范围内,他们将能够与之成功配对,并在一定条件下与儿童用户进行双向对话。条件。”



但是,根据 Vtech 的说法,发生这种情况的可能性很小。



“ KidiGear Walkie Talkies 的配对无法通过单个设备启动。这两款设备必须在 30 秒的短时间内同时开始配对才能连接。” 一旦配对,手机就无法与陌生人拥有的第三台设备配对。



NCC Group 还发现了卡拉 OK 玩具的潜在问题,并称该卡拉 OK 玩具可用于发起“二次物联网攻击”。



“有了这两个卡拉 OK 玩具调查,其未认证的蓝牙实现,有可能在范围和发行数字助理声控命令时,连接到他们,” 它说。



“虽然将存在不同的智能家居配置,但是并非不可想象的是,有些家庭可能将数字助理配置为打开前门的智能锁。因此,人们可以想象出一个位于物业外的攻击者,未经身份验证就连接到蓝牙玩具,以流音频命令以制定第二级目标,例如“ Alexa,解锁前门”。



类似的攻击可能使黑客能够从受害家庭的亚马逊帐户中订购商品并拦截它们,声称哪一个?



“智能玩具是由政府的驱动,使连接产品的安全性设计“确定的重点领域之一,”该集团表示。“我们呼吁玩具业确保在我们在英国出售之前,对不安全的产品(如我们确定的产品)进行修改或理想地使其安全。”



非常感谢您对亚洲注册的支持与信任!

禁止转载

需要帮助吗?联系我们的支持团队 在线客服