Hello Barbie er fyldt med sikkerhedshuller Nyheder

Mattels nye internetforbundne Barbie-dukke giver hackere adgang til børneværelset

Hello Barbie (1)Tilbage i februar kunne vi fortælle om legetøjsfirmaet Mattel og softwarefirmaet ToyTalks planer for Hello Barbie – den næste generation af den klassiske Barbie-dukke, der er i stand til at føre en samtale med dit barn.

Hello Barbie er ikke blot en interaktive Barbie-dukke udstyret med enkelte forudindtalte fraser, men er i stedet forbundet til en cloud-baseret tjeneste, hvor barnets samtaler med Barbie-dukken lagres med henblik på, dels at dukken skal kunne huske for eksempel yndlingsfarver og lignende, men også for at ToyTalk løbende kan udvikle Barbies svarmuligheder og gøre hende i stand til at reagere i forhold til de ting, børnene gerne vil tale med hende om.

Hele konceptet med at lagre og uploade børns samtaler med Hello Barbie fik fra starten kritik fra flere sider i forhold til potentielle sikkerhedsproblemer. Nu har dukken været klar til den amerikanske julehandel siden november, og ikke overraskende viser den sig at være behæftet med flere sikkerhedsproblemer.

   Læs også: Legetøjsfirmaet Vtech lækker 5.547 danske børneprofiler

 

Dusør for at finde sårbarheder i Hello Barbie

Allerede i slutningen af november kunne sikkerhedsefterforskeren Matt Jakubowsk til tv-stationen NBC Chicago fortælle, at han ved at ’hacke’ dukkens styresystem blandt andet kunne finde frem til dukkens tilknyttede netværksadresse, kontooplysninger og i sidste ende lydfiler af barnets samtaler med dukken.

En kritik som direktøren for ToyTalk, Oren Jacob, afskrev, fordi han mente det var information som børn og forældre allerede havde adgang til via dukkens medfølgende app.

I sidste uge kunne det amerikanske sikkerhedsfirma Bluebox offentliggøre en rapport, hvor de påpeger en række sårbarheder i både app’en og ToyTalks servere. Bluebox fandt det blandt andet kritisabelt, at app’en automatisk tilslutter brugerens smartphone til et usikkert trådløst netværk, hvis det blot har ’Barbie’ i navnet. Ligesom firmaet fandt problemer med autentificering af brugere både i forhold til app og servere.

Bluebox havde oplyst ToyTalk om sårbarhederne, inden rapporten blev offentliggjort, og der er således allerede taget hånd om flere af sikkerhedshullerne. Men Bluebox advarer alligevel om, at sikkerhed bør prioriteres højere i forbindelse med blandt andet internetforbundet legetøj.

I et forsøg på at få opsporet andre potentielle sikkerhedshuller i Hello Barbie har ToyTalk etableret et såkaldt Bug Bounty Program, hvor det er muligt at få en dusør på mellem 100 – 10.000 dollar for at indrapportere sårbarheder og fejl.

Hello Barbie er endnu ikke lanceret i Danmark. Vi har endnu ikke hørt tilbage fra Mattel i forhold til, hvornår det sker.

Kommentarer

Skrevet af

Thomas Berger

REDAKTØR: Har igennem en årrække skrevet om alt fra computerspil og forbrugerelektronik til tegneserier og ikke mindst legetøj i både aviser og magasiner, og besøger hellere legetøjsbutikker end museer på en ferie. Far til to.

    Tags: , , , , , ,