フィッシャープライスの Smart Toy 向けウェブサービスでは、複数の API 呼出しにおいて適切な認証を行っていません。また、Smart Toy の玩具には脆弱なバージョンの Android OS が使用されている可能性があります。 フィッシャープライスの Smart Toy Bear は、Wi-Fi 接続機能を持つ IoT 玩具です。この玩具は、ネットワーク機能を使用することで、ユーザである子供との更なるインタラクションを提供します。 不適切な認証 (CWE-287) - CVE-2015-8269 フィッシャープライスの Smart Toy では、予測可能な番号を使ってユーザアカウントを登録しています。Smart Toy のアカウントを持つ攻撃者は、他のアカウントに対してクエリやコマンドを実行することが可能です。攻撃者は、発行したクエリによって、名前、誕生日、性別など、他のユーザの情報を取得することが可能です。また、他のユーザの一部の情報を編集したり、登録されている玩具を他のアカウントに関連付けることが可能です。 CWE-287: Improper Authentication http://cwe.mitre.org/data/definitions/287.html Rapid7 の研究者によると、アカウントのすべてのデータが変更もしくは取得可能ではなく、影響は限定的とのことです。また、この研究者は Smart Toy が Android 4.4 (KitKat) で動作しているとしています。現時点で、Smart Toy 製品に対して最新の Android セキュリティパッチが適用されているかどうかは不明です。 詳しくは、Rapid7 のセキュリティアドバイザリを参照してください。 Rapid7 のセキュリティアドバイザリ https://community.rapid7.com/community/infosec/blog/2016/02/02/security-vulnerabilities-within-fisher-price-smart-toy-hereo-gps-platform フィッシャープライスの Smart Toy を提供する Mattel, Inc. は次のように述べています。 "We recently learned of a security vulnerability with our Fisher-Price WiFi-connected Smart Toy Bear. We have remediated the situation and have no reason to believe that customer information was accessed by any unauthorized person. Mattel and Fisher-Price take the safety of our consumers and their personal data very seriously, which is why we act quickly to resolve potential vulnerabilities like this. 当社は先般、フィッシャープライス Wi-Fi 接続 Smart Toy Bear に関するセキュリティ上の脆弱性を知りました。既にこの問題は修正されており、顧客情報に対する不正アクセスも確認していません。Mattel およびフィッシャープライスでは、顧客と顧客の個人情報の安全を極めて重要であると考え、今回のような脆弱性の迅速な解決に取り組んでいきます。"

フィッシャープライスは、サービス側の変更によってこの問題を修正しています。 詳しくは、Mattel, Inc. またはフィッシャープライスにお問い合わせください。