科客點(diǎn)評：芭比想走近智能世界也要花點(diǎn)功夫在安全問題上。

　　美國ToyTalk公司前一陣推出了一款能夠連接Wi-Fi網(wǎng)絡(luò)，而且還有配套移動(dòng)應(yīng)用的Hello Barbie娃娃（你好芭比），上周五有新聞?wù)f這個(gè)娃娃可被輕易攻破，而最新的安全研究則顯示，這個(gè)娃娃的配套應(yīng)用和云端連接服務(wù)器也存在安全問題。

　　應(yīng)用安全技術(shù)團(tuán)隊(duì)Bluebox，以及獨(dú)立研究人員Andrew Hay揭露稱，該應(yīng)用可被篡改，用于盜取私人信息，包括密碼。同時(shí)還發(fā)現(xiàn)，應(yīng)用還可以將一臺移動(dòng)設(shè)備連接到任意不安全的WiFi網(wǎng)絡(luò)下，用于欺騙攻擊、盜取數(shù)據(jù)。

　　這個(gè)配套的應(yīng)用所用的身份憑證可被黑客再度利用。而在服務(wù)器方面，在應(yīng)用以外，客戶端的身份憑證就能被黑客利用，用于探測Hello Barbie云端服務(wù)器的更多漏洞。此外，研究還發(fā)現(xiàn)，ToyTalk服務(wù)器域所在云基礎(chǔ)設(shè)施，比較容易受到POODLE攻擊的影響，攻擊者可借此降低連接的安全性，監(jiān)聽傳往服務(wù)器的通訊內(nèi)容，比如來自娃娃上傳的對話內(nèi)容。

　　Bluebox Labs實(shí)驗(yàn)室已經(jīng)向ToyTalk揭露了Hello Barbie當(dāng)前已知的所有關(guān)鍵安全問題，不少問題已經(jīng)解決。在Bluebox的博客中，安全研究工程師Andrew Blaich表示：“所有已發(fā)現(xiàn)的問題都表明，需要更安全的應(yīng)用部署，以及不止是在一般的移動(dòng)應(yīng)用中加入自我防御能力，Hello Barbie這樣的IoT設(shè)備應(yīng)用中也需要這樣的特性。這次研究證明，IoT設(shè)備的配套移動(dòng)應(yīng)用的安全性需要引起高度重視。”關(guān)注科客網(wǎng)官方微信kekebat，獲取更多精彩資訊。（cnBeta.COM，原標(biāo)題《研究人員：Hello Barbie娃娃存在一堆安全漏洞》）