Говорящая кукла ‘Cayla’ от Vivid Toy уязвима для взлома, говорит исследователь безопасности

Table Of Contents

• Исследователь безопасности Кен Мунро обнаруживает уязвимость в говорящей кукле ‘Cayla’ от Vivid Toy
• Cayla

Исследователь безопасности Кен Мунро обнаруживает уязвимость в говорящей кукле ‘Cayla’ от Vivid Toy

Лучший продавец Vivid Toy, говорящая кукла ‘Cayla’, имеет уязвимости, которые могут быть использованы потенциальными хакерами, чтобы заставить куклу говорить то, что они хотят, удаленно. Уязвимость была обнаружена исследователем безопасности Кеном Мунро из Pen Test Partners. Мунро, который дал интервью программе BBC Tech Tent и будет представлен в сегодняшнем выпуске, обнаружил уязвимость в программном обеспечении Cayla, которая позволяет ее взломать и, по сути, заставить говорить что угодно.

Мунро также продемонстрировал взлом BBC Рори Селлан-Джонсу. Поскольку Мунро не опубликовал PoC, а программа BBC Tech Tent еще не вышла в эфир, неизвестно, в чем именно заключается уязвимость, но она находится в приложении, которое соединяет Cayla со смартфоном.

Cayla

Cayla — это говорящая кукла, подключенная к Интернету от Vivid Toys. Она использует программное обеспечение распознавания речи и технологию Google Translate для общения с ребенком. Представленная в ноябре 2014 года, Vivid Toys утверждает, что дети могут вести любое количество разговоров с куклой, и Cayla будет «самым умным другом, которого вы когда-либо имели».

Cayla выглядит как традиционная кукла — 18 дюймов в высоту, с блондинистым волосами и футболкой. Но в ее животе находится динамик, из которого она «говорит», и на ней есть ожерелье, которое действует как устройство прослушивания. Она работает, слыша, что вы говорите, и отправляя слова в приложение, которое необходимо установить на любое устройство iOS или Android. Это устройство соединяется с Cayla по Bluetooth, а затем переводит то, что говорит ребенок, превращает это в текст и использует ключевые слова для поиска ответа в Интернете.

На момент представления Vivid Toys заявила, что родители могут быть уверены в высоком уровне функций безопасности, включая Google SafeSearch, что означает, что Cayla никогда не скажет ничего неподобающего. Vivid тогда заявила, что если вы скажете кукле слово «черт», она ответит: «Это неуместно». Спросите ее, откуда берутся дети, и она скажет: «Я не знаю. Лучше спросите вашего учителя».

Однако исследования Мунро доказывают, что ее можно заставить говорить гораздо худшие вещи ребенку, если ее взломать. BBC связалась с Vivid Toys по поводу уязвимости, которые заявили, что «взлом был изолированным примером, проведенным специализированной командой, но тем не менее компания примет информацию к сведению, так как она сможет обновлять приложение, используемое с куклой, на постоянной основе.»