Een beveiligingsonderzoeker heeft een privacylek in slim speelgoed van Fisher-Price ontdekt waardoor kwaadwillenden allerlei informatie over kinderen konden achterhalen en de werking van het speelgoed konden manipuleren. De problemen bevonden zich in de Fisher-Price Smart Toy.
Dit zijn speelgoeddieren voorzien van online functionaliteit en een bijbehorende mobiele app voor ouders. Uit onderzoek bleek dat het systeem van Fisher-Price dat met het speelgoed communiceert verzoeken niet goed controleerde. Een aanvaller kon daardoor verzoeken naar Fisher-Price sturen die eigenlijk niet zouden moeten worden uitgevoerd. Doordat dit wel gebeurde was het voor een onderzoeker van beveiligingsbedrijf Rapid7 mogelijk om allerlei gevoelige gegevens te achterhalen.
Zo konden alle klanten en kindprofielen worden achterhaald, waaronder hun naam, geboortedatum, geslacht, taal en met welk speelgoed ze spelen. Ook was het mogelijk om kindprofielen onder een klantaccount aan te maken, te wijzigen of te verwijderen en kon het speelgoed aan een ander account worden gekoppeld. Op deze manier kon een aanvaller de ingebouwde functionaliteit van het speelgoed 'kapen' en acties laten uitvoeren die het kind niet had bedoeld. Verder was het ook mogelijk om de status te achterhalen of een ouder de mobiele app actief gebruikte en of kinderen wel met hun speelgoed speelden.
Vorig jaar november werd Fisher-Price ingelicht. Op 19 januari werden de problemen verholpen, waarop nu de details openbaar zijn gemaakt. Rapid7 stelt dat het onderzoek bedoeld is om de aanloopproblemen van het Internet of Things met betrekking tot informatiebeveiliging te onderstrepen. "Hoewel veel slimme en bruikbare ideeën worden bedacht, moet dit zorgvuldig worden afgewogen tegen de potentiële risico's van dergelijke technologie."
Deze posting is gelocked. Reageren is niet meer mogelijk.