sábado, 9 de janeiro de 2016

Star Wars BB-8 Brinquedo Internet das Coisas Vem Com uma Vulnerabilidade.

brinquedo Guerra nas Estrelas (Star Wars) BB-8 internet das coisas vem com uma vulnerabilidade que o deixa em aberto a influências malévolas do Lado Escuro.


BB-8 Star Wars

O brinquedo em si é muito bonito com algumas funcionalidades adorável, com um aplicativo móvel liso. No entanto, uma avaliação preliminar pela consultoria de segurança do Reino Unido a Pen Teste Partners (PTP) revelou uma classe de vulnerabilidade que é comum em aplicativos móveis, especialmente aqueles desenvolvidos com o rápido crescimento do mercado de Internet das Coisas em mente.

Cerca de 15% por ou mais de todos os apps Android na loja podem ter problemas com a comunicação desprotegida através da internet. Pesquisadores de segurança da PTP descobriu que isso também é verdade para o Android app que controla o brinquedo BB-8.

Se você forçar uma atualização de firmware, ele vai através de HTTP em vez de através de uma conexão segura SSL, como evidenciado pelos registros de Wireshark em testes no brinquedo para PTP. Hackers dentro do alcance Wi-Fi de um smartphone Android emparelhado com o brinquedo poderia, portanto, executar um ataque man-in-the-middle.

No entanto, basta mudar o firmware no brinquedo não permitiria que um hacker venha montar um ataque mais sério em uma rede doméstica ou algo que vale a pena se preocupar. O erro não é grave, mas vale a pena mencionar como ele ilustra uma classe de erro que representa um risco muito maior se fosse aplicada a um hub ou roteador em casa.

"Popping firmware desonestos para o BB-8 seria interessante, especialmente se encontrar funcionalidade lá que seria de uso", explica um post do Pen Partners Teste. "Podemos fazê-lo fazer alguma coisa tola, como ir para as montanhas em alta velocidade"? "Além disso, seria bastante trivial alterar os arquivos de som no aplicativo para fazê-lo dizer coisas para o usuário. Aposto que nós poderíamos fazer em BB-8 juro também ", acrescenta.

O comentário mais tarde é uma referência aos trabalhos anteriores por pesquisador PTP que mudou os arquivos de som no brinquedo My Friend Cayla e virou a boneca em uma princesa potty-boca.

Mais recente trabalho dos pesquisadores de segurança no brinquedo galáctico é ainda mais um caso de pesquisadores de segurança brincando com kit legal, eles conseguiram colocar as mãos em vez de descobrir um truque demoníaco.

A ausência de SSL a partir de atualizações é melhor descrito como um descuido um pouco do que a vulnerabilidade. PTP só foi a pública sobre a vulnerabilidade após o contato com o fornecedor, que se mostrou receptivo e prometeu uma atualização, e depois de concluir que as falhas de segurança não conseguiu apresentar qualquer risco significativo.

"Não parece haver quaisquer dados pessoais sobre o aplicativo móvel ou o droid", explica PTP". Existem sensores não particularmente úteis sobre ele também, então é como se ele não poderia ser usado para espionar o usuário".

"Fizemos uma extensa pesquisa sobre o mecanismo de entrega de nossa firmware enquanto as coisas que o artigo aponta são verdadeiras, não temos absolutamente nenhuma preocupação sobre qualquer vulnerabilidade que levaria a uma má experiência do usuário. "Reconhecemos a preocupação com a segurança dos dispositivos da Internet das coisas, e gostaria de liderar o espaço de jogo relacionadas com a segurança na vanguarda da nossa estratégia publicou o fornecedor do brinquedo".

O aplicativo Android que controla os BB-8 conversa com o droid através de Bluetooth. PTP revela que não há nenhuma segurança PIN no processo de emparelhamento, outro bug de segurança relativa menor. PTP comentou: "Sem segurança no emparelhamento não é um problema para BB-8 em seu disfarce atual, mas se surge uma nova funcionalidade no futuro.