Barbie inviterer hackere indenfor i børneværelset

Sikkerhedsfirmaet Bluebox har fundet en række kritiske sårbarheder i legetøjsfirmaet Mattels internetforbundne Barbie-dukke.

Legetøjsfirmaet Mattel kunne i februar løfte sløret for Hello Barbie – den næste generation af den klassiske Barbie-dukke – udviklet i samarbejde med softwareudvikleren ToyTalk.

Hello Barbie er forbundet med internettet, og er i stand til at holde gang i en realtidssamtale med barnet ved at optage og uploade de ting, barnet siger og fortæller dukken, til en central server hvor optagelserne analyseres med henblik på at levere en passende reaktion.

Konceptet affødte allerede fra starten adskillige kritiske indlæg om den potentielle sikkerhedsrisiko, som Hello Barbie kunne udgøre i børneværelset. En frygt som, i forbindelse med dukkens julelancering i de amerikanske legetøjsbutikker, viser sig at være velbegrundet.

Læs også: Ny Barbie-dukke optager børnenes stemmer og videregiver dem til tredjepart

Hello Barbie er fyldt med sikkerhedshuller

Det amerikanske sikkerhedsfirma Bluebox offentliggjorde i fredags en rapport, hvor de har set nærmere på både Hello Barbie-app’en til iOS og Android samt kommunikationen mellem app og ToyTalks could-baserede servere.

I rapporten påpeger Bluebox en række sårbarheder i app’en, der blandt andet automatisk tilslutter brugerens smartphone til et usikkert trådløst netværk, hvis det blot har ’Barbie’ i navnet. Derudover bruger app’en en autentificering, der kan genbruges af en angriber, ligesom Bluebox kritiserer ToyTalk for at inkludere kode i app’en, der ikke har nogen funktion, men som resulterer i en større angrebsflade.

Bluebox fandt også, at ToyTalks server befandt sig på en cloud-infrastruktur, som er sårbar overfor et såkaldt poodle-angreb. Samt at en brugers autentificering kunne bruges uafhængigt af app’en til at granske andre Hello Barbie-servere.

Læs også: Nyt sikkerhedshul i gammel webprotokol omgår kryptering

Legetøjsbranchen tager ikke sikkerhed seriøst

Bluebox kritik af Mattel og ToyTalks manglende sikkerhed kommer blot få dage efter, at det kom frem, at legetøjsfirmaet Vtech havde fået hacket deres servere, og blandt andet samtaler og personlige oplysninger fra tusindvis af danske børn og forældre blevet kompromitteret.

Læs også: Hackere har fået adgang til 5.547 profiler af danske børn via legetøjsgigant

»Jeg tror ikke, at legetøjsproducenterne er helt klar over, hvad de har gang i. De er på vej ind på et helt nyt marked, hvor bare det at udstyre legetøj med Wifi eller Bluetooth udgør en potentiel sikkerhedsrisiko. Det er flot, at legetøjsbranchen tør eksperimentere, men de skal være deres ansvar voksent, hvis de skal have succes med for eksempel et produkt som Hello Barbie,« siger spil- og legetøjsekspert Thomas Vigild til Version2.

Han mener heller ikke, at forbrugerne eller forældre tager IT-sikkerhed og legetøj seriøst nok: »De er ikke klar over den mulige sikkerhedsrisiko. Legetøjet i dag har en helt anden teknisk dimension, end det legetøj forældrene selv er vokset op med.«

Sikkerhed skal prioriteres højere i IoT

Ifølge Bluebox er flere af de fundne sikkerhedshuller i Hello Barbie-app’en og serverne allerede lukket inklusive poodle-sårbarheden, efter ToyTalk blev oplyst om problemerne forud for rapportens offentliggørelse.

»Alle de fundne sårbarheder gør det åbenlyst, at der er behov for at udvikle apps med en højere sikkerhed. Ligesom der er brug for at integrere forsvarsmekanismer ikke blot i enkeltstående apps, men også i de apps som understøtter Internet of Things-produkter som Hello Barbie. I sidste ende viser denne rapport, at sikkerheden i de apps som bruges med IoT skal prioriteres højere,« fastslår Andrew Blaich fra Bluebox i deres rapport.

For at komme potentielle sikkerhedshuller i forkøbet har ToyTalk for godt tre uger siden etableret et såkaldt Bug Bounty Program, hvor sårbarheder og fejl kan indrapporteres. Alt efter hvor kritisk en fejl er, kan indrapporteringen udløse en dusør på mellem 100 – 10.000 dollar.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bent Jensen

"Blåøjede forældre" henviser du hermed med racistisk udtaler om at lyshåret er dumme, eller at vi er de eneste som har råd til og er villige til at købe Barbie til vores børn ? :-)

Godt vi ikke lever i et totalitært og total overvåget samfundet som England, så var du måske kommet ind til en kammeratlig samtale, uden chance for dommerkendelse, grundlovsforhør, advokat eller viden om hvad du blev anklaget for.

  • 0
  • 0
Ulrik Suhr
  • 0
  • 0
Log ind eller Opret konto for at kommentere