IoTバービー人形でさまざまなセキュリティ上の問題が見つかる

Wi-Fiでクラウドに接続し、AIを使用した会話のできるマテルのバービー人形「Hello Barbie」で、専用アプリやサーバーにさまざまなセキュリティ上の問題が見つかったそうだ(Bluebox Securityのブログ記事、The Registerの記事、BetaNewsの記事、Ars Technicaの記事)。

Hello Barbieは発表当初からプライバシー侵害が懸念されており、11月には実際に盗聴などが可能だと報じられていた。一方、Hello Barbieの技術面の開発を担当したToyTalkでは、報じられている「ハック」は人形への物理的なアクセスが必要なものや専用アプリの設定インターフェイスを使用するもので、録音された音声や登録メールアドレス、Wi-Fiパスワードといった情報にアクセスすることはできないと説明している。

モバイルアプリはToyTalkが開発したもので、サーバーもToyTalkの管理下にある。AndroidとiOSに対応するアプリは攻撃者が認証情報の再利用が可能となっており、名前に「Barbie」が含まれる任意のWi-Fiネットワークに接続してしまうという。クライアント証明書の認証情報はアプリ以外でも使用可能で、攻撃者が任意のHello Barbieクラウドサーバーを調べることが可能となる。さらにToyTalkのサーバードメインは、POODLE攻撃の影響を受けやすいクラウドインフラストラクチャ上に置かれていたとのこと。

なお、これらの問題を発見したBlueboxでは公表前にToyTalkへ連絡しており、多くは既に修正済みとのことだ。　スラドのコメントを読む | セキュリティセクション | セキュリティ | 人工知能 | バグ | インターネット | 暗号 | おもちゃ | プライバシ

　関連ストーリー：
バービー人形が「知性的」に変身、ホワイトハウスとGoogleの影響？ 2015年11月12日
Windows 10のプライバシー設定をすべてオフにしても、Microsoftとの通信は止められない？ 2015年08月16日
SSL 3.0の脆弱性「POODLE」はTLSにも影響する 2014年12月12日
4年前に発売されたコンピューターエンジニア版バービーの絵本、今になって内容が注目を集める 2014年11月22日
SSL 3.0に深刻な脆弱性が見つかる 2014年10月15日
IBM、社内でのSiriの使用を禁止 2012年05月25日
FBIがカメラ内蔵バービー人形に警告、児童ポルノ制作に使用される可能性 2010年12月08日