泰迪熊智能玩具泄露數百萬音頻信息和用戶密碼

正打算給自家小孩買可聯網玩具或智能玩具的家長請注意，你可能需要三思而後行了，這些詭異的玩具會給小朋友們帶來一些潛在的隱私和數據安全風險。

最近可聯網的泰迪熊玩具就被爆發生嚴重安全事件，超過200萬兒童與父母之間的語音信息被泄露，同時暴露的還有超過82萬用戶的郵箱和密碼。

這些被稱為CloudPets的聯網玩具來自美國California的玩具生產商Spiral Toys，

CloudPets是

Spiral Toys的一個子品牌，

其實類似事件並不是第一次發生，在差不多一年前有一家叫做VTech的香港玩具製造商也遭遇了大規模的用戶數據泄露，涉及全世界範圍內640萬兒童和其父母的照片以及聊天記錄被竊取。

更過分的是，在入侵者在非法獲取這些數據之後，將其作為勒索的資本，而且就目前所知，資料庫已經被刪除過3次並收到過3次不同的勒索信息，分別是「PWNED_SECURE_YOUR_STUFF_SILLY,」 「README_MISSING_DATABASES」和」PLEASE_READ」。

被勒索的Cloudpets

據2月28日安全專家Troy Hunt在blog上發布的文章中曝光，Shodan搜索引擎等證據顯示，在2016年12月25日至2017年1月8日之間，Cloudpets智能玩具的用戶數據就存儲在一個沒有任何密碼或防火牆防護的公共資料庫中。

Hunt還提到，在此期間有許多第三方組織或個人訪問了這個資料庫，其中就有黑客從Cloudpets的資料庫竊取了用戶的郵箱和hash密碼。

被竊賬戶超過200萬

Hunt在Twitter了發布了基本的被竊信息，其中包括玩具錄的音、MongoDB泄露的數據、220萬賬戶語音信息、資料庫勒索信息等。

事實上，在一月初MongoDB被屠戮，多個資料庫遭到入侵、勒索的時候，Cloudpets就已經被重寫兩次了。Cloudpets的資料庫是託管給一家叫做mReady的羅馬尼亞公司，這家公司和Spiral Toys之間存在合同關係。

mReady將那些語音信息存儲在開放的MongoDB資料庫里，MongoDB使用的是開放式亞馬遜雲伺服器（Amazon S3），不需要任何身份驗證就能訪問。

被竊數據包括用戶配置文件圖片、兒童姓名和他們父母、親人和朋友的部分信息。

這就意味著任何不懷好意的人只要得到正確的URL都可以聽到這些語音信息。

被玩具製造商無視的危機

其實Cloudpets早就已經意識到了數據的安全問題，但是依舊選擇不作為，完全不考慮用戶的隱私可能受到侵犯。當然，作為玩具製造商的Spiral Toys也好不到哪去。

Spiral Toys的CEO就直接否認了數據泄露的事實：「用戶的語音信息被竊取？絕對不可能。」

除了Hunt，GDI Foundation的Victor Gevers和一些安全專家都發現了Cloudpets資料庫被泄露的信息，並且曾試圖在12月底里聯繫玩具製造商。

但是這家公司很難被聯絡到，也拒絕對這些給他們發起警告的安全專家進行回應。

直到上周Vice Media的記者就此事件聯繫到公司之後他們才開始承認數據可能是存在一些小問題（minimal issue）。但是只有入侵者想辦法搞到用戶的密碼才能訪問他們的語音信息。

好的一點是，用戶的密碼都是用bcrypt演算法來hash的，這就能保證密碼很難被攻破。

但不幸的是，Cloudpets對密碼設置沒有任何要求，用戶甚至可以用一個字母a來作為密碼，所以入侵者只要用一些常用密碼「qwerty或123456等」進行撞庫，就能破解很多用戶賬號。

據說製造商一共收到了4次警告，宣稱用戶數據就那麼掛在網上，沒有任何防護措施導致任何有心人士都能輕易獲取，但結果是數據依然沒有人管，並且時間超過一個星期，還有證據證明在此期間數據被多次竊取。

搞笑的是，從2015年開始就未更新過的Cloudpets博客到現在為止還未發出任何安全警示，用戶依然沒有得到任何提醒。

Hunt提到：「Cloudpets可能一開始不知道的有兩點，其一是資料庫處於一種公開狀態，其二是有惡意團體能訪問這些數據。」「很明顯，雖然他們已經更改了系統的安全配置文件但也不能改變勒索造成的損失，所以無論是被暴露的資料庫還是被入侵併勒索，這些才最容易成為頭條，引起關注。」

防治手段

家長應該提高憂患意識，在之後給小孩買任何可聯網智能玩具之前，三思而後行。

如果你有Cloudpets賬號，建議你通過 Have I Been Pwned?來查一下賬號是否已經泄露，這個網站包括目前所有Spiral Toys泄露的用戶數據。

如果不幸中招，要先修改賬號密碼，同時最好斷開玩具和互聯網的連接。

最終的建議是，以防萬一，最好把跟Cloudpets使用同樣密碼的其他賬戶的密碼都更換掉。

Cloudpets噩夢第二彈

CloudPets噩夢並沒有結束的跡象，根據最新消息，智能玩具的藍牙Web API可能存在被遠程入侵的風險。

具體的說，這些玩具有這樣一個功能，會允許網頁在無需任何認證的情況下通過藍牙連接玩具，這樣網頁就能夠控制玩具並且利用玩具的麥克風錄音。這個功能還可以被用來播放音頻信息。

所以，這種不安全的API實現會允許入侵者遠程竊聽擁有這種智能玩具的家庭。他們只需要一部手機、一個網頁，然後藍牙匹配最近的智能玩具，開始實施竊聽。

Context Information安全公司的研究人員提到，他們在之前CloudPets數據泄露時間曝光的時候正在調查WEB藍牙的問題。不過現在這個調查已被叫停，作為玩具製造商的Spiral Toys將會面臨更多譴責。

報告中提到：「當用戶初次使用Cloudpets官方應用時，需要點擊一個『證實』按鈕來完成配置。一開始我以為這是某種安全機制，但事實證明這個玩具什麼都不需要」。「當用戶第一次配置玩具的時候，Cloudpets應用會執行一個固件更新，而這個固件的文件存在於APK中。只有確認經過CRC（循環冗餘碼校驗）16校驗，這個固件才會進行加密，因此遠程修改玩具的這個固件是完全有可能的。」

研究人員還指出只要藍牙處於可連接狀態並且尚未匹配，那麼任何人都可以連上這個玩具。因為典型的藍牙可連接範圍在10到30米之間，所以入侵者可以在別人家門口就鏈接玩具，利用麥克風實施上傳或下載語音信息的行為。

到目前為止，這個智能玩具背後的公司還有更多東西值得深挖。

*參考來源：

thehacknews

，

softpedia

，FB小編孫毛毛編譯，轉載請註明來自FreeBuf