Amazon, Target и Walmart больше не продают популярные игрушки CloudPets. Мягкий плюшевый мишка кажется безвредным - пока злоумышленники не смогут использовать его, чтобы шпионить за вашими детьми. По заявлению Amazon, они удалили из своего интернет-магазина умную игрушку CloudPets, которая была признана исследователями небезопасной. На прошлой неделе крупные розничные сети Walmart и Target также перестали продавать игрушки CloudPets. Компания Amazon начала снимать с продажи CloudPets во вторник утром.
Такое решение было принято через день после того, как компания Mozilla связалась с Amazon и предоставила исследование, показывающее новые уязвимости в игрушках CloudPets.
Это не первый случай, когда Amazon перестала продавать продукты из-за проблем с информационной безопасностью. Так в июле прошлого года были приостановлены продажи Blu-phones, из-за того что исследователи обнаружили шпионские программы на самом продаваемом телефоне в то время.
Устройства в интернете вещей (IoT) на текущий момент открыты для различных атак и содержат множество уязвимостей, одна из которых применение паролей по-умолчанию. В марте комиссия США по безопасности потребительских товаров начала расследование об опасности использования cоединенных устройств, также известных как Интернет вещей (Internet of Things), в тоже время законодатели ввели закон о регулировании интеллектуальных устройств.
Особой проблемой является продажа IoT-игрушек детям, так как она открывает ряд проблем с конфиденциальности. После того, как адвокаты отметили, что игрушка «My Friend Cayla» нарушала правила конфиденциальности и записывала разговоры без согласия родителей, власти Германии запретили куклу и попросили всех родителей ее уничтожить.
CloudPets, игрушка созданная компанией SpiralToys, — это игрушка-устройство, которая подключена к сети и управляется голосовыми командами или через онлайн-приложение, в том числе по Bluetooth. Ранее В 2017 году хакеры смогли получить доступ к базе данных CloudPets, содержащей адреса электронной почты, пароли и записи голосов детей. Атака затронула данные более чем 800 000 человек и известно, что киберпреступники продали эту информацию не реже двух раз.
Mozilla работала с исследовательской компанией Cure53, чтобы выячнить, какие уязвимости не исправлены в CloudPets после первоначального инцидента в 2017 году. Они обнаружили, что уязвимости Bluetooth для CloudPets, впервые продемонстрированные более года назад, все еще открыты.
В марте исследователи провели тесты на обнаружение уязвимостей и выявили, что CloudPets не соответствует стандартам безопасности. Компания-производитель игрушек пока не дала комментариев по этому поводу. Как заявили в своем отчете эксперты по информационной безопасности, компания не заботится о безопасности и неприкосновенности пользователей и не прилагает никаких усилий, чтобы исправлять найденные проблемы.
Кроме того, исследователи обнаружили, что мобильное приложение CloudPets отправляет пользователей на сайт под названием «mycloudpets.com/tour», домен, который в настоящее время продается, и может быть куплен и использован потенциальными преступниками для онлайн-мошенничества.
У CloudPets также была третья уязвимость, говорится в отчете, что позволило потенциальным хакерам установить пользовательскую прошивку в игрушку без каких-либо проверок безопасности. Установка пользовательской прошивки позволяла потенциальному хакеру взять под контроль игрушку вместе с любыми данными, которые проходили бы через нее.
Исследователи обнаружили, что приложения CloudPets были в последний раз обновлены в мае 2017 года для iOS и в январе 2018 года для Android.
Специалисты Semperis обнаружили серьезный изъян проекта Managed Service Accounts (dMSA), который существенно упрощает взлом паролей к управляемым аккаунтам и позволяет получить постоянный доступ во всем их ресурсам в доменах Active Directory.
Функциональность dMSA была введена в Windows Server 2025 для зашиты от атак на протокол Kerberos. Разработанный экспертами способ внедрения бэкдора в обход аутентификации несложен в исполнении, однако для успешной атаки придется заполучить корневой ключ службы KDS.
Из-за этого создатели Golden dMSA оценили степень угрозы как умеренную: заветный ключ доступен только из-под учетной записи с высочайшими привилегиями — администратора корневого домена, админа предприятия либо SYSTEM.
С помощью этого мастер-ключа можно получить текущий пароль dMSA или gMSA (групповой управляемый аккаунт пользователя AD) без повторного обращения к контроллеру домена. Как оказалось, для регулярно и автоматически заменяемых паролей предусмотрено лишь 1024 комбинации, и они поддаются брутфорсу.
Таким образом, компрометация одного контроллера домена в рамках Golden dMSA может обернуться масштабным взломом управляемых аккаунтов AD-службы. Автор атаки также получает возможность горизонтально перемещаться между доменами целевой организации.
Примечательно, что представленный Semperis метод позволяет обойти Windows-защиту Credential Guard — механизм, предотвращающий кражу учеток, NTLM-хешей и тикетов Kerberos (идентификаторов TGT).
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
