注意了!CloudPets存在安全漏洞,亚马逊禁止销售这类产品
为了应对浏览器制造商和互联网社区倡导者Mozilla提出的对安全性和隐私的安全问题,亚马逊从上周二开始,停止出售CloudPets系列网络连接的智能玩具。 上周沃尔玛和Target对这类玩具也采取了同样的行动,停止了销售这款玩具。据说该玩具的其他卖家也在考虑采取对应措施。亚马逊并没有立即回复置评请求,但CloudPets已从其网站上下架了。 CloudPets玩具 互联网非营利组织Mozilla的一名发言人证实,浏览器和开放商业团体已经与亚马逊分享了CloudPets的漏洞。它还与电子前沿基金会(Electronic Frontier Foundation)分享了调查结果。该基金会与其他倡导团体计划在6月5日发表一封信,敦促零售商放弃这些玩具。 该基金会(EFF)错误地在其博客上发布了这封信,然后删除了这篇文章,在谷歌的缓存中仍然可以看到,但在社交媒体没有注意到之前,就没有了。截止6月5日,沃尔玛和塔吉特Talk已经采取相关行动,亚马逊就其计划与Mozilla联系。 CloudPets的制造商,螺旋玩具公司没有立即回应和询问。 谁让Mozilla负责? 自去年首次发布互联网健康报告以来,Mozilla已经开始热衷于批评隐私和社区良知。在其最近努力宣传中,该公司于上周二宣布“ Facebook必须做得更好 ”,以回应社交广告巨头持续不断的数据摸索。 在向注册机构提供的一份声明中,Mozilla的宣传副总裁阿什利·博伊德(Ashley Boyd)解释了为什么干预是必要的。她说,互联网上的安全和隐私至关重要,但受到的侵犯越来越多。 “像Equifax这样的公司被攻破,泄露了数百万客户的个人信息,但面临的后果是有限的,” 博伊德说。 “最近,Facebook-Cambridge Analytica丑闻揭示了我们对自己的数据常常缺乏控制力和可见性,我是两个孩子的母亲。在一个数据泄露和违规越来越普遍的世界里,像CloudPets这样的产品可以放在商店货架上,我越来越担心我孩子的隐私和安全。” 去年11月,博伊德曾建议那些购买节日礼物的以避免侵犯隐私玩具的人,他说,这个问题超出了CloudPets的范围,而不是消费者和公司之间的关系。 “如果消费者要求更加严肃地对待隐私和安全问题,并通过他们的笔记本进行跟踪,我们可以改变公司对待我们和我们的数据的方式,”博伊德说。“我们可以为自己和我们的孩子创造一个更安全的世界。” CloudPets和螺旋玩具在过去就有问题。去年,计算机安全研究员保罗·斯通Paul Stone 演示了CloudPet如何被黑客捕获音频。同年,玩具制造商被发现运行一个不安全的MongoDB数据库,黑客从该数据中获得至少500,000个客户记录。 缺陷超过一年后未定 Mozilla向The Register提供了一份由网络安全研究机构Cure53在其支持下进行的安全审计副本。该报告指出,虽然玩具制造商已经修复了MongoDB的安装,但CloudPets玩具仍然可以通过Stone去年透露的蓝牙攻击事件转变为间谍设备。 它还发现与玩具相关的域名已经过期并且可以购买,这使其成为潜在的网络钓鱼平台。 更重要的是,该玩具没有固件保护,这可能允许攻击者通过设备访问来创建自定义固件。并且CloudPets语音记录被存储在一个可公开访问的Amazon S3存储桶中。 该报告得出结论,该公司显然不关心用户的安全和隐私受到侵犯,也不愿意对善意的攻击报告做出回应,这进一步促使黑客对他们的用户进行恶意攻击。” 类似的缺陷也出现在其他相关的玩具中,比如创世纪玩具的Cayla娃娃和美泰玩具的Hello Barbie娃娃。 Cayla娃娃和Hello Barbie娃娃 迄今为止,玩具制造商似乎没有采取什么行动来维护他们的声誉。就在上个月,普林斯顿大学(Princeton University)的研究人员报告称,他们在联网玩具中发现了一些未披露的漏洞,这些漏洞既违反了儿童在线隐私保护规定(COPPA),也违反了玩具所规定的隐私政策。 (文章来源:theregister.co.uk 卖家之家整理/编译:危伟)
