行业新闻与博客

本周黑帽安全会议的研究人员发现了一款领先儿童平板电脑产品的漏洞。

研究人员，从保安公司 Checkmarx，发现在 LeapPad 最终，由坚固耐用的平板设备几个缺点蛙跳，ThreatPost 报道今天。

这个缺陷围绕着 Pet Chat，这是一款让孩子们使用宠物头像和预定义短语在虚拟房间里互相交谈的应用程序。该应用程序创建了点对点 Wi-Fi 连接（也称为 Ad Hoc 模式），使用 SSID Pet Chat 将平板电脑的状态广播到类似设备。

Checkmarx 研究人员使用威格尔，无线网络映射网站，跟踪使用 PET 聊天 LeapPads 的位置。该漏洞允许任何人在线查找 LeapPad 使用 Pet Chat 的位置，方法是在公共 Wi-Fi 上搜索或跟踪设备的 Mac 地址。

由于 Pet Chat 不需要在设备之间进行身份验证，因此运行应用程序的 LeapPad 附近的任何人都可以向孩子发送未经请求的消息，可能会使用预设短语来引诱孩子进入危险状态。

研究人员警告说，LeapPad 的传出流量也是未加密的，使用 HTTP 而不是 TLS / SSL 加密的 HTTPS。

他们在 2018年12月向 LeapFrog 披露了 Pet Chat 漏洞，尽管该公司直到 2019年6月才将其删除。

这不是第一次让孩子接触到旨在帮助他们的技术。今年 2 月，安全咨询公司 Pen Test Partners 发现，根据挪威消费者委员会 2018 年初的报告，儿童智能手表中的网络安全未能得到改善。欧盟委员会发布了一份名为 Safe-KID-One 的智能手表的召回令，来自德国公司 ENOX，它发送的信息包括位置记录和电话号码。恶意用户可以向任何手表发送命令，使其拨打他们选择的另一个号码。

截至记者发稿时，LeapFrog 没有回复我们的评论请求。

非常感谢您对亚洲注册的支持与信任！

禁止转载