La poupée parlante ‘Cayla’ de Vivid Toy vulnérable au piratage, selon un chercheur en sécurité

Table des matières

• Le chercheur en sécurité Ken Munro découvre une vulnérabilité dans la poupée parlante ‘Cayla’ de Vivid Toy
• Cayla

Le chercheur en sécurité Ken Munro découvre une vulnérabilité dans la poupée parlante ‘Cayla’ de Vivid Toy

La poupée parlante ‘Cayla’, best-seller de Vivid Toy, présente des vulnérabilités qui peuvent être exploitées par de potentiels hackers pour faire dire à la poupée parlante ce qu’ils veulent à distance. La vulnérabilité a été découverte par le chercheur en sécurité Ken Munro, de Pen Test Partners. Munro, qui a donné une interview au programme Tech Tent de la BBC et sera présenté dans l’édition d’aujourd’hui, a découvert une vulnérabilité dans le logiciel de Cayla qui permet de la pirater et de lui faire dire essentiellement n’importe quoi.

Munro a également démontré le piratage au Rory Cellan-Jones de la BBC. Comme Munro n’a pas publié le PoC et que le Tech Tent de la BBC n’a pas encore été diffusé, il n’est pas connu quelle est la vulnérabilité, mais elle se trouve dans l’application qui connecte Cayla au smartphone.

Cayla

Cayla est une poupée parlante connectée à Internet de Vivid Toys. Elle utilise un logiciel de reconnaissance vocale et la technologie Google Translate pour communiquer avec l’enfant. Dévoilée en novembre 2014, Vivid Toys affirme que les enfants peuvent avoir un nombre illimité de conversations avec la poupée et que Cayla sera “le meilleur ami que vous aurez jamais.”

Cayla ressemble à une poupée traditionnelle – 18 pouces de haut, avec des cheveux blonds et un T-shirt. Mais son ventre contient un haut-parleur, à partir duquel elle ‘parle’, et elle porte un collier qui sert de dispositif d’écoute. Elle fonctionne en entendant ce que vous dites et en envoyant les mots à une application qui doit être installée sur tout appareil iOS ou Android. Cet appareil se connecte à Cayla par Bluetooth et traduit ensuite ce que l’enfant dit, le transforme en texte et utilise des mots-clés pour parcourir Internet à la recherche d’une réponse.

Au moment de son dévoilement, Vivid Toys avait déclaré que les parents peuvent être assurés que de hauts niveaux de fonctionnalités de sécurité, y compris Google SafeSearch, signifieraient que Cayla ne dira jamais rien d’inapproprié. Vivid avait déclaré à l’époque que si vous dites le mot “merde” à la poupée, elle répondra : “C’est inapproprié.” Demandez-lui d’où viennent les bébés et elle dira : “Je ne sais pas. Vous feriez mieux de demander à votre enseignant.”

Cependant, la recherche de Munro prouve qu’elle peut être amenée à dire des choses bien pires à un enfant si elle est piratée. La BBC a contacté Vivid Toys concernant la vulnérabilité, qui a déclaré que “le piratage était un exemple isolé réalisé par une équipe spécialisée – mais néanmoins, l’entreprise prendrait l’information en compte car elle était capable de mettre à jour l’application utilisée avec la poupée de manière continue.