Эксперты компании Pen Test Partners назвали небезопасной очередную игрушку производства Genesis Industries Ltd.
Как и в случае с куклой Кайлой, у игрушечной птицы оказалось не защищено Bluetooth-соединение. Исследователи смогли подключить тукана к другому источнику звука, воспроизвести через встроенный динамик произвольные аудиофайлы и заставить игрушку ругаться — что и продемонстрировали эксперты Pen Test Partners. Контролировать то, что произносит тукан, можно и простой заменой звуковых файлов, хранящихся в OBB-контейнере. Приложив немного усилий, киберпреступник сможет извлечь пакет Android-приложения и заменить MP3-файлы. Кроме того, игрушка снабжена микрофоном — то есть злоумышленник сможет подслушивать все, что происходит в непосредственной близости к тукану.
Ранее другие игрушки этого производителя были признаны небезопасными, а в Германии даже запрещены. Говорящего тукана может ожидать такая же участь: исследователи уже подали жалобу в регулирующую организацию и намереваются добиться запрета на его продажу.
На рынке «умных» игрушек и бытовых приборов постоянно появляются новинки, а вместе с ними — и опасные уязвимости. Киберпреступники взламывают радионяни, видеокамеры, детские машинки и многое другое. Любой гаджет с микрофоном или камерой может превратиться в устройство для слежки, с которым злоумышленники получат доступ к конфиденциальным данным.
Однако производители IoT-устройств не всегда своевременно реагируют на сведения о наличии уязвимостей. Так, исследователи компании Rapid7, сообщившие о брешах безопасности в игрушках Fisher-Price и hereO, неоднократно связывались с этими компаниями. В конечном итоге им пришлось обратиться в CERT, после чего производители игрушек обратили внимание на проблему и закрыли уязвимости. Как заметил главный менеджер по исследованиям безопасности в Rapid7 Тод Бирдсли (Tod Beardsley), такая реакция связана с тем, что компании-производители зачастую не понимают, какую угрозу несут в себе уязвимости.