CloudPetsのインターネット接続玩具にセキュリティ上の問題が研究者によって発見されてから1年以上が経ちました。MozillaとCure53は最近、これらの問題が全く修正されていないことを発見し、ウォルマート、ターゲット、そして今回Amazonがオンラインストアから当該玩具の撤去に踏み切りました。
CloudPetsのおもちゃは、家族で一緒にゲームをしたり、子守唄を歌ったり、子供たちにボイスメッセージを録音したりすることができます。これらの機能はすべて、当然ながらインターネット接続と、同社のモバイルアプリで作成されたアカウントが必要です。しかし、2017年に研究者らは、CloudPetsがこれらのデータを処理するAmazon S3データベースを適切に保護していなかったことを発見し、弱いパスワードの使用を推奨しました。
当時、「Have I Been Pwned?」の運営者Troy Hunt氏はブログ投稿で、この安全でない設定が原因で少なくとも82万1000人の個人情報が漏洩し、多くの人がその情報を含むデータベースにアクセスしたと述べています。研究者らはまた、CloudPetsのおもちゃのBluetooth通信範囲内にいる攻撃者がおもちゃにアクセスし、音声を録音したりメッセージを送信したりできることも発見しました。この問題は未だに修正されていません。
EFF は、ウォルマート、ターゲット、アマゾンに宛てた書簡の中で、これらの問題に対する CloudPets の対応 (または対応の欠如) について懸念を表明しました。
CloudPetsの問題は、ユーザーとの信頼関係を裏切る行為です。コネクテッドデバイスは複雑で、時にはミスが発生することもあることは承知しています。しかし、CloudPetsのおもちゃの問題は、消費者保護の失敗を如実に示しています。セキュリティリスクは1年以上前から公に知られており、技術的な解決策も存在するにもかかわらず、Spiral Toysはこれらの問題を解決していません。セキュリティ監査、脆弱性ポリシーの導入、そしてBluetoothの認証機能の確保は、Spiral Toysがこの信頼関係を破綻させないために講じるべき重要な対策です。
小売業者はこれらの警告に耳を傾けたようだ。CNETは、Amazonが今週、ウォルマートとターゲットに続き、CloudPetsの玩具をオンラインストアから撤去したと報じた。3つのストアの検索結果には依然として玩具へのリンクが表示されており、エラーページか玩具売り場のウェブページへのリンクとなっている。これは、既にCloudPetsの玩具を購入した人にとっては役に立たないかもしれないが、安全でない製品の拡散を防ぐことはできるだろう。
もしかしたら、大手オンライン小売業者3社のウェブサイトから締め出されたことで、CloudPetsが製品のセキュリティをより真剣に考えるようになるかもしれない。同社にはこれらの問題を解決するのに1年以上の猶予があったことを考えると、実現する可能性は低いだろうが、少なくとも可能性はある。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
