据美国“侨报网”6月6日报道,亚马逊(Amazon )5日表示,他们已经开始从网店下架一款名为CloudPets的智能玩具,原因是来自莫齐拉公司(Mozilla)的研究人员发现该玩具存在安全漏洞,并及时将这一消息传递给了亚马逊。上周,沃尔玛和塔吉特(Target)也停止销售了这款玩具。
莫齐拉公司宣传副总裁博伊德(Ashley Boyd)在一份声明中说:“在一个数据泄露越来越普遍的世界里,像CloudPets这样的产品仍然摆放在商店货架上,让人越发担心孩子们的隐私和安全。”
据报道,CloudPets由Spiral Toys玩具公司生产,是一款通过蓝牙连接在线应用程序并可以进行语音记录的会话智能玩具。2017年起,黑客开始侵入包含儿童电子邮件地址、密码和语音记录的CloudPets数据库,并利用窃取的数据信息进行敲诈勒索,涉及的用户超过80万。
因此,莫齐拉公司与网络安全研究公司CUR53合作,调查了 CloudPets在2017年初数据泄露事件后仍有哪些技术漏洞。结果显示, CloudPets的蓝牙也存在漏洞,且这一缺陷已存在一年多时间。
Spiral Toys玩具公司对此事件并未做出回应。研究人员在报告中写道:“该公司显然对于他们用户的安全和隐私被侵犯并不关心,并未认真看待善意的攻击报告,因此使用户面临着进一步受到恶意行为攻击的风险。”
研究人员还发现,用户下载CloudPets移动应用程序的一个被称为“mycloudpets.com/tour”的网站也存在安全隐患,该域名正在被出售,有可能被网络罪犯利用从事诈骗行为。
研究人员还发现了CloudPets的一个漏洞,该漏洞有可能让黑客在没有任何安全检查的情况下将定制固件安装至玩具上,而安装自定义固件将能够让黑客控制玩具,以及通过它来窃取任何数据。
这不是亚马逊首次停售涉及隐私的产品。2017年7月,该在线零售商巨头暂停了当时最畅销的BLU手机的销售,原因也是该研究人员在这款流行的设备上发现了间谍软件。由于诸多原因,物联网设备往往最易受到攻击。为此,美国消费品安全委员会于2018年3月开启了针对物联网危险性的调查,美国国会也提出了一项监管智能设备的法案。对此,Spiral Toys玩具公司并未马上做出回应。
几维安全致力于物联网端安全防护多年,其专有技术KiwiVM虚拟化保护方案,可虚拟化CPU指令,可对支付、算法、通信、密钥等核心技术进行虚拟化加密,并支持安卓、iOS、Windows、Linux平台,能够有效应对感知层、网络层、平台层、应用层等各项风险,保障互联网业务安全稳定的运行。