【51CTO.com原創(chuàng)稿件】    《重慶森林》里梁朝偉對著牙刷、牙膏、肥皂、玩具熊、毛巾說話的經(jīng)典場景，現(xiàn)在正逐漸變得習以為常。越來越多的智能互動設(shè)備，可以實現(xiàn)人機交互，互相對話，例如電視廣告里的那些會講故事會聊天的機器熊。但是你可能不知道，這背后也有潛在的隱私和數(shù)據(jù)安全風險。

[[184679]]

    小朋友們對泰迪熊玩具非常熟悉，泰迪熊的一個子品牌CloudPets它有一個功能就是允許兒童和親屬之間收發(fā)語音信息，但是日前泰迪熊就被爆發(fā)生嚴重安全事件，超過200萬兒童與父母之間的語音信息被泄露，同時暴露的還有超過82萬用戶的郵箱和密碼。

    被勒索的Cloudpets

    僅僅是泄露這么簡單？當然不，入侵者在非法獲取這些數(shù)據(jù)之后，將其作為勒索的資本，泰迪熊玩具生產(chǎn)廠商數(shù)據(jù)庫已經(jīng)被刪除過3次并收到過3次不同的勒索信息，分別是“PWNED_SECURE_YOUR_STUFF_SILLY,”、“README_MISSING_DATABASES”和”PLEASE_READ”?！?/p>

    安全專家Troy Hunt在blog上發(fā)布的文章中曝光，Shodan搜索引擎等證據(jù)顯示，在2016年12月25日至2017年1月8日之間，Cloudpets智能玩具的用戶數(shù)據(jù)就存儲在一個沒有任何密碼或防火墻防護的公共數(shù)據(jù)庫中。Hunt還提到，在此期間有許多第三方組織或個人訪問了這個數(shù)據(jù)庫，其中就有黑客從Cloudpets的數(shù)據(jù)庫竊取了用戶的郵箱和hash密碼。 

    據(jù)悉，Cloudpets的數(shù)據(jù)庫是托管給一家叫做mReady的羅馬尼亞公司，這家公司和泰迪熊生產(chǎn)廠商之間存在合同關(guān)系。mReady將那些語音信息存儲在開放的MongoDB數(shù)據(jù)庫里，MongoDB使用的是開放式亞馬遜云服務器(Amazon S3)，不需要任何身份驗證就能訪問。被竊數(shù)據(jù)包括用戶配置文件圖片、兒童姓名和他們父母、親人和朋友的部分信息。這就意味著任何不懷好意的人只要得到正確的URL都可以聽到這些語音信息。

　　被玩具制造商無視的危機

　　其實Cloudpets早就已經(jīng)意識到了數(shù)據(jù)的安全問題，但是依舊選擇不作為，完全不考慮用戶的隱私可能受到侵犯。當然，作為玩具制造商的Spiral Toys也好不到哪去。

　　Spiral Toys的CEO就直接否認了數(shù)據(jù)泄露的事實：“用戶的語音信息被竊取?絕對不可能。”直到上周記者就此事件聯(lián)系到公司之后他們才開始承認數(shù)據(jù)可能是存在一些小問題，但是他們稱只有入侵者獲取用戶的密碼后才能訪問他們的語音信息。他們宣稱，用戶的密碼都是用bcrypt算法來hash的，這就能保證密碼很難被攻破。

    但不幸的是，Cloudpets對密碼設(shè)置沒有任何要求，用戶甚至可以用一個字母a來作為密碼，所以入侵者只要用一些常用密碼“qwerty或123456等”進行撞庫，就能破解很多用戶賬號。

　　據(jù)說制造商一共收到了4次警告，宣稱用戶數(shù)據(jù)就那么掛在網(wǎng)上，沒有任何防護措施導致任何有心人士都能輕易獲取，但結(jié)果是數(shù)據(jù)依然沒有人管，并且時間超過一個星期，還有證據(jù)證明在此期間數(shù)據(jù)被多次竊取?！　?/p>

　　Hunt提到：“Cloudpets可能一開始不知道的有兩點，其一是數(shù)據(jù)庫處于一種公開狀態(tài)，其二是有惡意團體能訪問這些數(shù)據(jù)。”“很明顯，雖然他們已經(jīng)更改了系統(tǒng)的安全配置文件但也不能改變勒索造成的損失，所以無論是被暴露的數(shù)據(jù)庫還是被入侵并勒索，這些才最容易成為頭條，引起關(guān)注。”

　　Cloudpets噩夢第二彈

　　CloudPets噩夢并沒有結(jié)束的跡象，根據(jù)最新消息，智能玩具的藍牙Web API可能存在被遠程入侵的風險。

　　具體的說，這些玩具有這樣一個功能，會允許網(wǎng)頁在無需任何認證的情況下通過藍牙連接玩具，這樣網(wǎng)頁就能夠控制玩具并且利用玩具的麥克風錄音。這個功能還可以被用來播放音頻信息。所以，這種不安全的API實現(xiàn)會允許入侵者遠程竊聽擁有這種智能玩具的家庭。他們只需要一部手機、一個網(wǎng)頁，然后藍牙匹配最近的智能玩具，開始實施竊聽。

　　Context Information安全公司的研究人員提到，他們在之前CloudPets數(shù)據(jù)泄露時間曝光的時候正在調(diào)查WEB藍牙的問題。不過現(xiàn)在這個調(diào)查已被叫停，作為玩具制造商的Spiral Toys將會面臨更多譴責。

　　報告中提到：“當用戶初次使用Cloudpets官方應用時，需要點擊一個‘證實’按鈕來完成配置。一開始我以為這是某種安全機制，但事實證明這個玩具什么都不需要”。“當用戶第一次配置玩具的時候，Cloudpets應用會執(zhí)行一個固件更新，而這個固件的文件存在于APK中。只有確認經(jīng)過CRC(循環(huán)冗余碼校驗)16校驗，這個固件才會進行加密，因此遠程修改玩具的這個固件是完全有可能的。”

　　研究人員還指出只要藍牙處于可連接狀態(tài)并且尚未匹配，那么任何人都可以連上這個玩具。因為典型的藍牙可連接范圍在10到30米之間，所以入侵者可以在別人家門口就鏈接玩具，利用麥克風實施上傳或下載語音信息的行為。

　　51CTO建議：

　　如果你有Cloudpets賬號，建議你通過 Have I Been Pwned?來查一下賬號是否已經(jīng)泄露，這個網(wǎng)站包括目前所有Spiral Toys泄露的用戶數(shù)據(jù)。 

　如果不幸中招，要先修改賬號密碼，同時最好斷開玩具和互聯(lián)網(wǎng)的連接。

　最終的建議是，以防萬一，最好把跟Cloudpets使用同樣密碼的其他賬戶的密碼都更換掉。

    如果你看到這里，小編其實還有一個建議，與其和玩具對話，不如養(yǎng)一只寵物，像范冰冰天天和她家的加菲貓說心里話一樣，也許更安全也說不定噢！

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】

【編輯推薦】