Onderzoekers vinden kwetsbaarheden in Furby Connect
De Furby Connect, een zogeheten smart toy die via een smartphone-app is te bedienen, bevat meerdere kwetsbaarheden waardoor aanvallers hun eigen firmware kunnen installeren en eigen animaties en audio kunnen afspelen. De Furby heeft kleine LCD-schermpjes als ogen die animaties kunnen tonen.
Daarnaast kan de Furby, die over een Bluetooth Low Energy (LE) verbinding beschikt, duizend zinnen zeggen. Securitybedrijf Context besloot samen met consumentenorganisatie Which? het speelgoedbeestje te onderzoeken. De onderzoekers ontdekten al snel dat de Furby van geen enkele Bluetooth LE-beveiligingsmaatregel gebruikmaakt zoals geauthenticeerd pairen en link-encryptie.
Iedereen in de buurt van de Furby kan zodoende de pakketjes onderscheppen en manipuleren of hun eigen verbinding met het speelgoed opzetten. Verder blijkt dat de Furby verschillende diensten niet heeft afgeschermd, waardoor het onder andere mogelijk is om ongesigneerde firmware op afstand te installeren. De onderzoekers slagen er uiteindelijk in om zowel de audiobestanden als oog-animaties aan te passen.
Context denkt zelfs dat het mogelijk is om de Furby in een afluisterapparaat te veranderen. Speelgoedfabrikant Hasbro werd over de problemen ingelicht, maar laat weten dat de aanval alleen vanaf een beperkte afstand is uit te voeren en de nodige technische kennis vereist. Binnenkort zal Context de scripts vrijgeven waarmee de bestanden kunnen worden aangepast die voor de oog-animaties en audio worden gebruikt.
Volgens Which? moeten fabrikanten bij het ontwerpen van smart toys meer aandacht aan de veiligheid en privacy van de gebruiker schenken. "Fabrikanten en retailers moeten de veiligheid van met internet verbonden en slimme producten serieus nemen door het vanaf het begin als topprioriteit te beschouwen", aldus de organisatie. Die roept verder op om alle smart toys met bekende kwetsbaarheden uit de winkelschappen te halen.
Video - Exploiting a Furby Connect. Bron: YouTube
Dat dachten ze ook van het: GSM signaal. Scada automatisering. etc...
Specs: https://en.wikipedia.org/wiki/Bluetooth_Low_Energy
Daarin staat dat het minimaal 100 meter kan overbruggen. Nou, in die 100 meter kan ik zeker 10 huizen halen hier. Dus opties genoeg.
Deze naieve houding behoord afgestraft te worden. Dus boycot Hasbro!
TheYOSH
Zendvermogen
Ontvangergevoeligheid
Eventueel aanwezige objecten tussen zender en ontvanger (muren)
Kwaliteit van in de eerste plaats de zendantenne en ook van de ontvangstantenne
Binnenshuis kan je rekenen op een bereik van ongeveer 10 meter.
Misschien dat de buren nog net kunnen meeluisteren als ze er op uit zijn, maar meestal hebben ze wat beters te doen.
Nee, dan de zelfgemaakte FM-zendertjes die vroeger wel eens werden gemaakt om als babyfoon in te zetten.
Werkte op de publieke FM band. Iedereen kon meeluisteren als ze wilden.
En dan soms eerst ook nog vergeten om hem uit te zetten als ze weer thuis waren.
Waarom dat gevaarlijk was? Het mocht niet, en je kon een boete krijgen.
Hoe hebben die mensen dat toch overleeft... ;)
Ik maak me meer zorgen over dan niemand nog in staat blijkt zelf na te denken.
WTF? Het is blijkbaar nog erger: men weet hier niet eens dat er een woord voor is (spelling, spellen).
https://nl.m.wikipedia.org/wiki/Spelling
Gezien het hier gedemonstreerde gebrekkige taalgebruik is dat inderdaad terecht. Het ligt ook in elkaars verlengde: het vermogen om je enigszins correct te kunnen uitdrukken in een taal en nadenken in het algemeen.
....
Gezien het hier gedemonstreerde gebrekkige taalgebruik is dat inderdaad terecht. Het ligt ook in elkaars verlengde: het vermogen om je enigszins correct te kunnen uitdrukken in een taal en nadenken in het algemeen.
Taal spelling schrift heeft dat als enige doel, het is niet de omgekeerde wereld dat spelling daarvoor leidend is.
Daarmee is je koppeling van taalvaardigheid aan nadenken in het algemeen rijp voor een niburu post..
We hebben het hier over modern kinderspeelgoed doel: spelen.
Probleem slechte kwaliteit in een bepaalde werking functionaliteit met name de ict hoek met de mogelijke privacy impact.
De beslissers ofwel ouders zouden daar beter over moeten nadenken.
De beslissers ofwel politiek zou daar betere keuringseisen voor moeten zien in te voeren dat dusdanige kwaliteit van de markt gaat.
Als we het over politici hebben. Uitstekende taalvaardig prachtige volzinnen en als je dan kijkt wat er feitelijk gezegd is dan is dat niets. Met de Kamervragen zien we tegenwoordig verwijzing naar Kassa DWDD Zembla alsof dat de behoorlijke inhoudelijke onderzoeksinstituten zijn of materiedeskundigen waar een onderbouwd verhaal vandaan moet komen.
Nog even en de soap afleveringen jaargang zus en zo worden leidend in de politiek. JR was een boef duidelijk soap.
Dan zie ik liever nog een idealistische nerd die de inhoud snapt en daar wat van probeert uit te dragen.
:-}
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
