对自己手持装置里的程式说话,可是越来越风行,iPhone 上有 Siri,微软也推出 Cortana,也不能怪小孩会跟有 AI 的玩偶说话了。但是说话娃娃可能因为资安漏洞而被骇客入侵。生产芭比娃娃的美泰儿(Mattel),不只有先前揭露的隐私麻烦,还有资安漏洞。
会说话和网络连线的芭比哈啰芭比,售价 74.99 美元,采用 Wi-Fi 连线到后端的服务器,运用语音辨识技术将录下的小孩话语分析后,即时回答出来。背后驱动其对话技术的公司 Toy Talk,最近与资安公司 Bluebox 和独立资安研究员 Andrew Hay 合作,好好找出哈啰芭比可能的资安漏洞。11 月中的时候 Bluebox 已经找出不少可能的资安漏洞,在 Bluebox 的部落格文章指出哈啰芭比 App 有以下 3 项风险:
- 认证凭证可能被骇客利用
- 芭比会连到任何一个含有“Barbie”字样的不安全网络连线
- 有未使用的程式码,有可能增加攻击的机会
而在服务器这端,则是以下两项风险:
- 客户端的认证可以被 App 以外的使用者,像是骇客拿来攻击服务器
- ToyTalk 的服务器存在 POODLE 攻击漏洞
当 Bluebox 跟 ToyTalk 提及这些漏洞,相关的漏洞也已经很快修好了。哈啰芭比的例子显示,小孩的童言童语可能拿来分析投放广告影响小孩,而且有资安漏洞。我们看到物联网的安全性还需要多多加油,唯有安全性问题解决了,才能让物联网的成果开枝落叶。
相关连结
- Hello (hackable) Barbie
- Hello Barbie is hackable, exposes children’s conversations with the doll
延伸阅读:
- 娃娃在窃听?WiFi 连线能与小孩说话的芭比娃娃惹争议
