V průběhu posledních dvou let bezpečnostní odborníci prokázali, že mnoho takzvaně „chytrých“ zařízení připojených k internetu značně pokulhává z hlediska zabezpečení. Zjevně to platí i o backendových serverech, na nichž běží příslušné služby a aplikace.
Nejnověji byly závažné nedostatky odhaleny v systémech výrobců chytrých hraček, konkrétně plyšových zvířátek Smart Toy a dětských hodinek s GPS hereO.
U zařízení Smart Toy výzkumníci zjistili, že web výrobce neověřuje řádně odesilatele požadavku. Prostřednictvím nezabezpečeného API dokázali získat seznam všech zákazníků, ID jejich hraček a názvy a typy profilů jejich dětí, dále mohli přistupovat k profilům všech dětí včetně jmen, dat narození, pohlaví a jazykové vybavenosti, mohli zjistit, zda rodič nebo dítě právě manipuluje s hračkou a podařilo se jim i přiřadit hračku k účtu jiného zákazníka, tedy ji v podstatě ovládnout na dálku.
Hodinky hereO GPS umožňují rodinným příslušníkům navzájem sledovat, kde se právě nachází a co dělají a komunikovat pomocí zpráv. Backendová webová služba poskytovala API pro přizvání další osoby do rodinné skupiny, avšak nedostatečně pozvání a připojení ověřovala.
Slabina umožňovala útočníkovi přidat do existující skupiny libovolný účet a jménem dotčené rodiny potvrdit jeho přijetí. Tím mohl útočník získat přístup k informacím o aktuální poloze každého člena rodiny i historii jeho pohybu a zneužívat další funkce platformy.
Výrobci údajně již chyby opravili přímo na svých serverech a zařízení samotná není nutné nijak aktualizovat.
PŘEDPLATNÉ
ČLÁNKY DO MAILU