Vivid Toys 'Cayla' sprechende Puppe anfällig für Hacking, sagt Sicherheitsforscher

Table Of Contents

• Sicherheitsforscher Ken Munro entdeckt Schwachstelle in Vivid Toys sprechender Puppe ‘Cayla’
• Cayla

Sicherheitsforscher Ken Munro entdeckt Schwachstelle in Vivid Toys sprechender Puppe ‘Cayla’

Vivid Toys Bestseller sprechende Puppe ‘Cayla’ hat Schwachstellen, die von potenziellen Hackern ausgenutzt werden können, um die sprechende Puppe aus der Ferne das sagen zu lassen, was sie wollen. Die Schwachstelle wurde von Sicherheitsforscher Ken Munro von Pen Test Partners entdeckt. Munro, der in einem Interview für das BBC Tech Tent Programm war und heute in der Sendung zu sehen sein wird, entdeckte eine Schwachstelle in Caylas Software, die es ermöglicht, sie zu hacken und im Wesentlichen eine beliebige Anzahl von Dingen zu sagen.

Munro hat den Hack auch dem BBC-Journalisten Rory Cellan-Jones demonstriert. Da Munro den PoC nicht veröffentlicht hat und das BBC Tech Tent noch nicht ausgestrahlt wurde, ist nicht bekannt, was die Schwachstelle ist, aber sie befindet sich in der App, die Cayla mit dem Smartphone verbindet.

Cayla

Cayla ist eine internetverbundene sprechende Puppe von Vivid Toys. Sie verwendet Spracherkennungssoftware und Google Translate-Technologie, um mit dem Kind zu kommunizieren. Im November 2014 vorgestellt, sagt Vivid Toys, dass Kinder beliebig viele Gespräche mit der Puppe führen können und Cayla „der intelligenteste Freund ist, den du je haben wirst.“

Cayla sieht aus wie eine traditionelle Puppe – 18 Zoll hoch, mit blonden Haaren und einem T-Shirt. Aber ihr Bauch enthält einen Lautsprecher, aus dem sie ‘spricht’, und sie trägt eine Halskette, die als Hörgerät fungiert. Sie funktioniert, indem sie hört, was du sagst, und die Worte an eine App sendet, die auf jedem iOS- oder Android-Gerät installiert sein muss. Dieses Gerät verbindet sich über Bluetooth mit Cayla und übersetzt dann, was das Kind sagt, wandelt es in Text um und verwendet Schlüsselwörter, um das Internet nach einer Antwort zu durchsuchen.

Zum Zeitpunkt der Vorstellung hatte Vivid Toys gesagt, dass Eltern sich darauf verlassen können, dass hohe Sicherheitsmerkmale, einschließlich Google SafeSearch, bedeuten, dass Cayla niemals etwas Unangemessenes sagen wird. Vivid hatte damals erklärt, dass, wenn man das Wort „Mist“ zu der Puppe sagt, sie antwortet: „Das ist unangemessen.“ Frag sie, woher Babys kommen, und sie sagt: „Ich weiß es nicht. Du solltest besser deinen Lehrer fragen.“

Munros Forschung beweist jedoch, dass sie dazu gebracht werden kann, viel schlimmere Dinge zu einem Kind zu sagen, wenn sie gehackt wird. Die BBC hat sich bezüglich der Schwachstelle an Vivid Toys gewandt, die erklärten, dass „das Hacking ein isoliertes Beispiel war, das von einem spezialisierten Team durchgeführt wurde – aber dennoch würde das Unternehmen die Informationen berücksichtigen, da es in der Lage war, die App, die mit der Puppe verwendet wird, kontinuierlich zu aktualisieren.“