Amazon, Target и Walmart больше не продают популярные игрушки CloudPets. Мягкий плюшевый мишка кажется безвредным - пока злоумышленники не смогут использовать его, чтобы шпионить за вашими детьми. По заявлению Amazon, они удалили из своего интернет-магазина умную игрушку CloudPets, которая была признана исследователями небезопасной. На прошлой неделе крупные розничные сети Walmart и Target также перестали продавать игрушки CloudPets. Компания Amazon начала снимать с продажи CloudPets во вторник утром.
Такое решение было принято через день после того, как компания Mozilla связалась с Amazon и предоставила исследование, показывающее новые уязвимости в игрушках CloudPets.
Это не первый случай, когда Amazon перестала продавать продукты из-за проблем с информационной безопасностью. Так в июле прошлого года были приостановлены продажи Blu-phones, из-за того что исследователи обнаружили шпионские программы на самом продаваемом телефоне в то время.
Устройства в интернете вещей (IoT) на текущий момент открыты для различных атак и содержат множество уязвимостей, одна из которых применение паролей по-умолчанию. В марте комиссия США по безопасности потребительских товаров начала расследование об опасности использования cоединенных устройств, также известных как Интернет вещей (Internet of Things), в тоже время законодатели ввели закон о регулировании интеллектуальных устройств.
Особой проблемой является продажа IoT-игрушек детям, так как она открывает ряд проблем с конфиденциальности. После того, как адвокаты отметили, что игрушка «My Friend Cayla» нарушала правила конфиденциальности и записывала разговоры без согласия родителей, власти Германии запретили куклу и попросили всех родителей ее уничтожить.
CloudPets, игрушка созданная компанией SpiralToys, — это игрушка-устройство, которая подключена к сети и управляется голосовыми командами или через онлайн-приложение, в том числе по Bluetooth. Ранее В 2017 году хакеры смогли получить доступ к базе данных CloudPets, содержащей адреса электронной почты, пароли и записи голосов детей. Атака затронула данные более чем 800 000 человек и известно, что киберпреступники продали эту информацию не реже двух раз.
Mozilla работала с исследовательской компанией Cure53, чтобы выячнить, какие уязвимости не исправлены в CloudPets после первоначального инцидента в 2017 году. Они обнаружили, что уязвимости Bluetooth для CloudPets, впервые продемонстрированные более года назад, все еще открыты.
В марте исследователи провели тесты на обнаружение уязвимостей и выявили, что CloudPets не соответствует стандартам безопасности. Компания-производитель игрушек пока не дала комментариев по этому поводу. Как заявили в своем отчете эксперты по информационной безопасности, компания не заботится о безопасности и неприкосновенности пользователей и не прилагает никаких усилий, чтобы исправлять найденные проблемы.
Кроме того, исследователи обнаружили, что мобильное приложение CloudPets отправляет пользователей на сайт под названием «mycloudpets.com/tour», домен, который в настоящее время продается, и может быть куплен и использован потенциальными преступниками для онлайн-мошенничества.
У CloudPets также была третья уязвимость, говорится в отчете, что позволило потенциальным хакерам установить пользовательскую прошивку в игрушку без каких-либо проверок безопасности. Установка пользовательской прошивки позволяла потенциальному хакеру взять под контроль игрушку вместе с любыми данными, которые проходили бы через нее.
Исследователи обнаружили, что приложения CloudPets были в последний раз обновлены в мае 2017 года для iOS и в январе 2018 года для Android.
Команда разработчиков Google Chrome выпустила стабильную версию браузера под номером 136 для Windows, macOS и Linux. Вроде бы очередное «техническое» обновление, но есть важная причина не откладывать его установку — в новой версии закрыли сразу восемь уязвимостей, включая одну очень серьёзную.
Главная звезда (и одновременно тревожный сигнал) в списке — CVE-2025-4096, уязвимость высокой степени риска в HTML-движке Chrome.
В двух словах: это heap overflow (переполнение буфера), которое может возникнуть при обработке веб-страниц. Если злоумышленник грамотно воспользуется этой брешью, он сможет выполнить произвольный код на вашем компьютере. То есть буквально получить доступ к системе. Неудивительно, что Google заплатила $5000 исследователю, который её обнаружил.
Апдейт также закрывает несколько менее опасных, но всё равно важных проблем:
CVE-2025-4050 — ошибка с выходом за границы памяти в DevTools (средняя опасность);
CVE-2025-4051 — недостаточная проверка данных в DevTools (тоже средней степени);
CVE-2025-4052 — некорректная реализация одной из функций (низкая опасность).
Что делать?
Обновиться как можно скорее! Обычно Chrome обновляется сам, но лучше перепроверить:
Откройте chrome://settings/help — и убедитесь, что у вас стоит последняя версия.
Google, кстати, намеренно не раскрывает технические детали уязвимостей до тех пор, пока большинство пользователей не установит патчи.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
