Ook Fisher-price speelgoed zo lek als een mandje

Oh, the possibilities.

Niet alleen Mattel's Hello Barbie wordt geplaagd door de nodige veiligheidslekken, ook het slimme speelgoed van Fisher-Price is niet veilig. Dankzij de lekke API kunnen kwaadwillenden meeluisteren, privégegevens inzien en data wijzigen.

We schreven al eerder over de problemen die Mattel, maar ook organisaties en klanten hadden met Hello Barbie. Maar ook andere fabrikanten hebben blijkbaar moeite met het dichttimmeren van hun speelgoed. Rapid7 ontdekte een tijdje geleden een aantal flinke lekken in de smart-toys van Fischer-Price.




Kinderhorloges

De lekken maken het mogelijk voor criminelen om de kinderen te volgen via de hereO GPS-dienst. Deze dienst wordt gebruikt door de kinderhorloges van Fisher-Price en een serie apps waarmee ouders hun kinderen in de gaten konden houden.



Het lek bestond uit een authenticatieprobleem waardoor vreemdelingen zichzelf toegang konden geven. Met deze toegang kon men realtime zien waar het kind zich bevond. Ook was het mogelijk oude locaties op te vragen en de GPS gegevens van de ouders te bekijken via de GPS-gegevens van de meegeleverde apps.

Pluchebeer

Ook de smart-toy pluchebeer blijkt niet veilig te zijn. De beer maakt gebruik van een webservice zonder de zender van de berichten goed te verifiëren. Kwaadwillenden konden via de lekke API-informatie achterhalen die niet voor hun was bestemd. Bovendien was het ook mogelijk informatie over de eigenaren van het speelgoed te achterhalen.



Privégegevens als de naam, geboortedatum, status en taal konden worden opgehaald en gewijzigd. Ook konden profielen worden gewisseld en konden reacties, die het speelgoed normaal gesproken geeft aan de kinderen, worden gewijzigd.

De lekken zijn inmiddels doorgegeven aan Fisher-Price en gedicht.