费雪牌智能毛绒玩具被爆安全漏洞

去年圣诞节的时候，一家安全公司发现美泰的智能芭比娃娃Hello Barbie容易受到黑客攻击。Hello Barbie支持WiFi和语音识别，还有一件很闪亮的外套。现在，美泰旗下的费雪品牌玩具也有麻烦。根据Rapid7的安全研究人员，费雪“智能玩具”(联网填充动物)也容易受到黑客攻击。

这款定位为“互动学习小伙伴”的玩具面向3到8岁的小孩。它会聆听小孩并和小孩聊天，给小孩讲故事和笑话，还知道天气和新闻头条。普通毛绒公仔有可能会让小孩感染猩红热细菌，而加入Wi-Fi的毛绒公仔则有可能暴露小孩的身份。Rapid7的报道说：“玩具平台的许多网络服务(API)通话都没有仔细认证信息的‘发送者’，这可能会让攻击者发送在理想操作条件下不应该授权的请求。”这意味着攻击者有可能获得玩具的详情(包括玩具ID、名称、类型)，访问小孩的资料(包括姓名、出生日期、性别和语言)，更改账户详细信息，查看其它信息，例如游戏成绩和客户购买信息。

Raipd7的Mark Stanislav就智能玩具的安全隐患写道：“特别是姓名和出生日期，它们名义上是非机密的数据，但是这些信息以后可能会加入到一份更加完整的小孩档案，从而促进许多社交工程或者其他针对小孩或小孩监护人的恶意活动。”

在Rapid7就该问题联系费雪后，费雪公司解决了这个问题。研究人员发现，旨在帮助家庭成员追踪彼此的智能手表hereO，也有安全隐患。这款GPS手表有一个授权漏洞。这个漏洞可以让攻击者发送接受授权的请求。该授权可以让攻击者访问家庭成员的所在位置以及位置历史。

现在小孩想用物联网产品很难。上周，纽约消费者事务部发起对联网婴儿监测器的调查，这得感谢Rapid7的报告把安全问题提上来