Kesilapan mendidik anak anak vol 1 code 11212
Selama dua tahun penyelidik keselamatan telah menunjukkan bahawa banyak peranti "pintar" yang berkaitan dengan Internet tidak dirancang dengan keselamatan dalam fikiran.
Contoh terbaru adalah kelemahan yang terdapat dalam perkhidmatan Web yang dikendalikan oleh pembuat mainan pintar yang boleh mendedahkan maklumat peribadi dan lokasi kanak-kanak.
Penyelidik dari firma keselamatan Rapid7 mendapati kelemahan yang serius dalam antara muka pengaturcaraan aplikasi Web (API) yang digunakan oleh garis Mainan Pintar haiwan disumbat interaktif dan jam tangan GPS ini untuk kanak-kanak.
[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows]Dalam kes peranti Toy Smart, para penyelidik mendapati bahawa perkhidmatan Web pengilang tidak mengesahkan penghantar permintaan dengan betul. Melalui API terdedah, mereka dapat menghitung semua pelanggan dan mencari ID mainan, nama, jenis dan profil kanak-kanak yang berkaitan; mereka boleh mengakses semua profil kanak-kanak, termasuk nama mereka, tarikh lahir, jantina dan bahasa yang dituturkan; mereka dapat mengetahui apabila ibu bapa atau anak berinteraksi dengan mainan mereka dan boleh mengaitkan mainan seseorang dengan akaun yang lain, dengan berkesan merampasnya.
"Paling jelas, keupayaan seseorang yang tidak dibenarkan mendapat maklumat asas tentang anak contohnya nama, tarikh lahir, jantina, bahasa yang dituturkan) adalah sesuatu yang kebanyakan ibu bapa akan bimbang, "kata penyelidik Rapid7 Mark Stanislav dalam jawatan blog. "Walaupun pada khususnya, nama-nama dan hari jadi adalah data rahsia bukan rahsia, ini boleh digabungkan kemudian dengan profil yang lebih lengkap dari kanak-kanak itu untuk memudahkan beberapa kejuruteraan sosial atau kempen jahat lain terhadap sama ada kanak-kanak atau penjaga kanak-kanak. "
Jam GPS ini membolehkan ahli keluarga mengesan lokasi dan aktiviti masing-masing dan melakukan interaksi lain seperti pemesejan. Perkhidmatan web back-end yang digunakan oleh platform menyediakan API untuk menjemput seseorang ke kumpulan keluarga yang ada, tetapi tidak melakukan pengesahan yang tepat.
Kerentanan itu boleh membenarkan penyerang untuk menambahkan akaun penyangak ke kumpulan keluarga yang ada dan untuk mengesahkan penambahannya bagi pihak keluarga. Penyerang kemudiannya akan mempunyai akses kepada setiap lokasi ahli ahli keluarga, serta sejarah lokasi, dan boleh menyalahgunakan ciri platform lain, kata Stanislav.
Kerentanan yang terdapat di kedua Toy Smart dan peranti di sini telah dilaporkan kepada pengeluar masing-masing dengan bantuan Bahagian CERT di Carnegie Mellon University. Memandangkan ini adalah isu-isu sisi pelayan, mereka ditampal oleh pengeluar secara langsung pada pelayan mereka dan tidak memerlukan kemas kini firmware untuk peranti sebenar.
Kesilapan dalam penampil PDF sumber terbuka boleh meletakkan pengguna WikiLeaks, yang lain berisiko
Kesilapan boleh dieksploitasi untuk dilancarkan XSS dan serangan spoofing kandungan
Kesilapan dalam plugin WordPress popular Jetpack meletakkan lebih dari satu juta laman web yang berisiko
Pemilik laman web WordPress kemas kini plug-in Jetpack secepat mungkin kerana kecacatan serius yang boleh mendedahkan pengguna mereka untuk menyerang.
