专栏首页FreeBuf泰迪熊智能玩具泄露数百万音频信息和用户密码

泰迪熊智能玩具泄露数百万音频信息和用户密码

正打算给自家小孩买可联网玩具或智能玩具的家长请注意,你可能需要三思而后行了,这些诡异的玩具会给小朋友们带来一些潜在的隐私和数据安全风险。

最近可联网的泰迪熊玩具就被爆发生严重安全事件,超过200万儿童与父母之间的语音信息被泄露,同时暴露的还有超过82万用户的邮箱和密码。

这些被称为CloudPets的联网玩具来自美国California的玩具生产商Spiral Toys,CloudPets是Spiral Toys的一个子品牌,这些玩具有一个功能就是允许儿童和亲属之间收发语音信息,最终导致这些音频数据和用户的私人信息成为了入侵者的目标。

其实类似事件并不是第一次发生,在差不多一年前有一家叫做VTech的中国香港玩具制造商也遭遇了大规模的用户数据泄露,涉及全世界范围内640万儿童和其父母的照片以及聊天记录被窃取。

更过分的是,在入侵者在非法获取这些数据之后,将其作为勒索的资本,而且就目前所知,数据库已经被删除过3次并收到过3次不同的勒索信息,分别是“PWNED_SECURE_YOUR_STUFF_SILLY,” “README_MISSING_DATABASES”和”PLEASE_READ”。

被勒索的Cloudpets

据2月28日安全专家Troy Hunt在blog上发布的文章中曝光,Shodan搜索引擎等证据显示,在2016年12月25日至2017年1月8日之间,Cloudpets智能玩具的用户数据就存储在一个没有任何密码或防火墙防护的公共数据库中。

Hunt还提到,在此期间有许多第三方组织或个人访问了这个数据库,其中就有黑客从Cloudpets的数据库窃取了用户的邮箱和hash密码。

被窃账户超过200万

Hunt在Twitter了发布了基本的被窃信息,其中包括玩具录的音、MongoDB泄露的数据、220万账户语音信息、数据库勒索信息等。

事实上,在一月初MongoDB被屠戮,多个数据库遭到入侵、勒索的时候,Cloudpets就已经被重写两次了。Cloudpets的数据库是托管给一家叫做mReady的罗马尼亚公司,这家公司和Spiral Toys之间存在合同关系。

mReady将那些语音信息存储在开放的MongoDB数据库里,MongoDB使用的是开放式亚马逊云服务器(Amazon S3),不需要任何身份验证就能访问。

被窃数据包括用户配置文件图片、儿童姓名和他们父母、亲人和朋友的部分信息。

这就意味着任何不怀好意的人只要得到正确的URL都可以听到这些语音信息。

被玩具制造商无视的危机

其实Cloudpets早就已经意识到了数据的安全问题,但是依旧选择不作为,完全不考虑用户的隐私可能受到侵犯。当然,作为玩具制造商的Spiral Toys也好不到哪去。

Spiral Toys的CEO就直接否认了数据泄露的事实:“用户的语音信息被窃取?绝对不可能。”

除了Hunt,GDI Foundation的Victor Gevers和一些安全专家都发现了Cloudpets数据库被泄露的信息,并且曾试图在12月底里联系玩具制造商。

但是这家公司很难被联络到,也拒绝对这些给他们发起警告的安全专家进行回应。

直到上周Vice Media的记者就此事件联系到公司之后他们才开始承认数据可能是存在一些小问题(minimal issue)。但是只有入侵者想办法搞到用户的密码才能访问他们的语音信息。

好的一点是,用户的密码都是用bcrypt算法来hash的,这就能保证密码很难被攻破。

但不幸的是,Cloudpets对密码设置没有任何要求,用户甚至可以用一个字母a来作为密码,所以入侵者只要用一些常用密码“qwerty或123456等”进行撞库,就能破解很多用户账号。

据说制造商一共收到了4次警告,宣称用户数据就那么挂在网上,没有任何防护措施导致任何有心人士都能轻易获取,但结果是数据依然没有人管,并且时间超过一个星期,还有证据证明在此期间数据被多次窃取。

搞笑的是,从2015年开始就未更新过的Cloudpets博客到现在为止还未发出任何安全警示,用户依然没有得到任何提醒。

Hunt提到:“Cloudpets可能一开始不知道的有两点,其一是数据库处于一种公开状态,其二是有恶意团体能访问这些数据。”“很明显,虽然他们已经更改了系统的安全配置文件但也不能改变勒索造成的损失,所以无论是被暴露的数据库还是被入侵并勒索,这些才最容易成为头条,引起关注。”

防治手段

家长应该提高忧患意识,在之后给小孩买任何可联网智能玩具之前,三思而后行。

如果你有Cloudpets账号,建议你通过 Have I Been Pwned?来查一下账号是否已经泄露,这个网站包括目前所有Spiral Toys泄露的用户数据。

如果不幸中招,要先修改账号密码,同时最好断开玩具和互联网的连接。

最终的建议是,以防万一,最好把跟Cloudpets使用同样密码的其他账户的密码都更换掉。

Cloudpets噩梦第二弹

CloudPets噩梦并没有结束的迹象,根据最新消息,智能玩具的蓝牙Web API可能存在被远程入侵的风险。

具体的说,这些玩具有这样一个功能,会允许网页在无需任何认证的情况下通过蓝牙连接玩具,这样网页就能够控制玩具并且利用玩具的麦克风录音。这个功能还可以被用来播放音频信息。

所以,这种不安全的API实现会允许入侵者远程窃听拥有这种智能玩具的家庭。他们只需要一部手机、一个网页,然后蓝牙匹配最近的智能玩具,开始实施窃听。

Context Information安全公司的研究人员提到,他们在之前CloudPets数据泄露时间曝光的时候正在调查WEB蓝牙的问题。不过现在这个调查已被叫停,作为玩具制造商的Spiral Toys将会面临更多谴责。

报告中提到:“当用户初次使用Cloudpets官方应用时,需要点击一个‘证实’按钮来完成配置。一开始我以为这是某种安全机制,但事实证明这个玩具什么都不需要”。“当用户第一次配置玩具的时候,Cloudpets应用会执行一个固件更新,而这个固件的文件存在于APK中。只有确认经过CRC(循环冗余码校验)16校验,这个固件才会进行加密,因此远程修改玩具的这个固件是完全有可能的。”

研究人员还指出只要蓝牙处于可连接状态并且尚未匹配,那么任何人都可以连上这个玩具。因为典型的蓝牙可连接范围在10到30米之间,所以入侵者可以在别人家门口就链接玩具,利用麦克风实施上传或下载语音信息的行为。

到目前为止,这个智能玩具背后的公司还有更多东西值得深挖。

本文分享自微信公众号 - FreeBuf(freebuf),作者:孙毛毛

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-03-02

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 黑客撩妹新招get!如何利用MouseJack入侵女神的鼠标

    0x00 前言 近期安全公司Bastille Networks(巴士底狱)安全研究员发现大多数无线鼠标和接收器之间的通信信号是不加密的。黑客可对一两百米范围内存...

    FB客服
  • Functrace:使用DynamoRIO追踪函数调用

    Functrace是一款使用DynamoRIO(http://dynamorio.org/)通过动态检测分析二进制文件的工具。

    FB客服
  • ES文件浏览器CVE-2019-6447漏洞分析

    ES文件浏览器在启动时创建了一个HTTP服务器,在本地打开了59777端口。攻击者通过构造指定的payload可以获取用户手机文件,安装apk等操作。

    FB客服
  • 详解Python类定义中的各种方法

    首先应该明确,在面向对象程序设计中,函数和方法这两个概念是有本质区别的。方法一般指与特定实例绑定的函数,通过对象调用方法时,对象本身将被作为第一个参数传递过去,...

    Python小屋屋主
  • C#项目代码规范

       小菜就是小菜,几个人搞出来的项目,让公司大牛稍微看了下,最后送出了惨不忍睹四个字。命名各种各样,五花八门,大写英文、小写英文、大写拼音、小写拼音、英文和拼...

    aehyok
  • JavaScript设计模式之模板方法模式

    泡茶和泡咖啡,整个过程都是类似的。我们可以抽离其中的概念:泡东西=>煮水->收集浸泡材料->泡->等。

    一粒小麦
  • Python的系统管理_10_python

    私有方法:不能被外部的类和方法调用,私有方法的定义和私有属性的定义都是一样的,在方法前面加上“__”双下线就可以了;

    py3study
  • web站点之路——公安备案篇

    一般在ICP备案完成的30天内,就可以进行公安备案,现在还没有强制性的要求公安备案,只对在大陆的网站有ICP备案的强制性要求。公安备案的地址为:ht...

    相柳
  • php运用PDO连接数据库,实现分页效果

    PDO是一个“数据库访问抽象层”,作用是统一各种数据库的访问接口,与mysql和mysqli的函数库相比,PDO让跨数据库的使用更具有亲和力;与ADOD...

    benny
  • 超越村后端开发(3:安装djangorestframework+序列化+API开发前期准备)

    4.注释掉项目目录下的 build目录下的 webpack.base.conf.js 的一些代码:

    玩蛇的胖纸

扫码关注云+社区

领取腾讯云代金券