Das Chatter Phone von Fisher-Price hat einen einfachen, aber problematischen Bluetooth-Bug – Inventiva

2022-10-11 17:04:43 By : Ms. Wina jia

Wenn es um Nostalgie geht, enttäuscht das Chatter-Telefon von Fisher-Price nicht.Das klassische Retro-Kinderspielzeug wurde für die Weihnachtszeit mit der Neuauflage für Erwachsene modernisiert, die im Gegensatz zum ursprünglichen Kinderspielzeug über Bluetooth mit einem Smartphone in der Nähe Anrufe tätigen und empfangen kann.Das Chatter ist – trotz eines funktionierenden Drehreglers und seiner typischen wackeligen Augen, die auf und ab schaukeln, wenn sich die Räder drehen – weniger ein Telefon als vielmehr ein neuartiger Bluetooth-Lautsprecher mit einem Mikrofon, das aktiviert wird, wenn der Hörer abgehoben wird.Der Chatter war nicht lange im Angebot;Das Telefon war schnell ausverkauft, als sich die Wartelisten häuften.Aber Sicherheitsforscher in Großbritannien entdeckten sofort ein potenzielles Problem.Mit nur der Online-Bedienungsanleitung befürchteten die Forscher, dass ein Konstruktionsfehler es jemandem ermöglichen könnte, den Chatter zum Abhören zu verwenden.Ken Munro, Gründer des Cybersicherheitsunternehmens Pen Test Partners, sagte gegenüber TechCrunch, dass die wichtigsten Bedenken darin bestehen, dass der Chatter keinen sicheren Kopplungsprozess hat, um zu verhindern, dass sich nicht autorisierte Telefone in Bluetooth-Reichweite mit ihm verbinden.Munro skizzierte eine Reihe von Tests, die seine Bedenken bestätigen oder zerstreuen würden.Da der Chatter nur in den USA erhältlich und ständig ausverkauft war, hat TechCrunch einen Seitenmonitor eingerichtet, der uns mitteilt, wann er wieder auf Lager ist, einen gekauft und mit dem Testen begonnen.Zuerst haben wir das Chatter-Telefon eingeschaltet, das seine Bluetooth-Verbindung aktiviert, ein Telefon über Bluetooth gekoppelt und dann Bluetooth ausgeschaltet, um zu simulieren, dass jemand mit dem Telefon außer Reichweite geht.Wir haben dann ohne Behinderung ein anderes Telefon mit dem Chatter gekoppelt, sodass wir das Audio des Chatters fernsteuern können.Mattel, Hersteller des Chatter-Telefons, sagte, das Telefon „wird ablaufen, wenn keine Verbindung hergestellt wird oder sobald die Kopplung erfolgt – es ist nur innerhalb eines engen Zeitfensters erkennbar und erfordert physischen Zugriff auf das Gerät.“Wir ließen den Chatter eingeschaltet und stellten fest, dass der Bluetooth-Pairing-Prozess nach mehr als einer Stunde nicht abgelaufen war.Dann fragte Munro, was passieren würde, wenn wir das mit dem Chatter verbundene Telefon anrufen würden.Tatsächlich klingelte der Chatter – laut – wie erwartet.Dann riefen wir den Chatter erneut an, diesmal ohne den Hörer richtig aufzulegen.Bei abgenommenem Hörer nahm der Chatter den Anruf automatisch entgegen, aktivierte sofort das Mikrofon des Hörers und ermöglichte uns, Hintergrundgeräusche zu hören.Vor einigen Jahren fanden Pen Test Partners eine ähnliche Bluetooth-Schwachstelle in einer Kinderspielzeugpuppe namens My Friend Cayla, die, wie die Forscher herausfanden, mit dem Telefon einer anderen Person gekoppelt werden konnte, wenn das Telefon der Eltern außer Reichweite war.Das Spielzeug wurde schließlich aus den Regalen gezogen, nachdem festgestellt wurde, dass die Puppe, wenn sie mit ihrer App verbunden war, aufzeichnete, was Kinder sagten.Das Chatter hat keine App, und Mattel sagte, das Chatter-Telefon sei als „ein limitierter Werbeartikel und eine spielerische Variante eines klassischen Spielzeugs für Erwachsene“ herausgebracht worden.Aber Munro sagte, er sei besorgt, dass das Fehlen einer sicheren Kopplung des Chatters von einem Nachbarn in der Nähe oder einem entschlossenen Angreifer ausgenutzt werden könnte, oder dass der Chatter an Kinder weitergegeben werden könnte, die dann unwissentlich den Fehler auslösen könnten.„Es braucht keine Kinder, die damit interagieren, damit es zu einem Audio-Bug wird.Es reicht aus, den Hörer einfach ausgeschaltet zu lassen“, sagte Munro.Als sie über die Ergebnisse informiert wurde, sagte Mattel-Sprecherin Kelly Powers, das Unternehmen sei „der Sicherheit verpflichtet und wir werden diese Behauptungen untersuchen“.Lorem ipsum dolor sit amet, consectetur.