【活用ガイド】

JVNDB-2016-001344

フィッシャープライス Smart Toy 向けウェブサービスにおいて認証なしで API を呼び出せる脆弱性

概要

フィッシャープライスの Smart Toy 向けウェブサービスでは、複数の API 呼出しにおいて適切な認証を行っていません。また、Smart Toy の玩具には脆弱なバージョンの Android OS が使用されている可能性があります。

フィッシャープライスの Smart Toy Bear は、Wi-Fi 接続機能を持つ IoT 玩具です。この玩具は、ネットワーク機能を使用することで、ユーザである子供との更なるインタラクションを提供します。

不適切な認証 (CWE-287) - CVE-2015-8269
フィッシャープライスの Smart Toy では、予測可能な番号を使ってユーザアカウントを登録しています。Smart Toy のアカウントを持つ攻撃者は、他のアカウントに対してクエリやコマンドを実行することが可能です。攻撃者は、発行したクエリによって、名前、誕生日、性別など、他のユーザの情報を取得することが可能です。また、他のユーザの一部の情報を編集したり、登録されている玩具を他のアカウントに関連付けることが可能です。

CWE-287: Improper Authentication
http://cwe.mitre.org/data/definitions/287.html

Rapid7 の研究者によると、アカウントのすべてのデータが変更もしくは取得可能ではなく、影響は限定的とのことです。また、この研究者は Smart Toy が Android 4.4 (KitKat) で動作しているとしています。現時点で、Smart Toy 製品に対して最新の Android セキュリティパッチが適用されているかどうかは不明です。

詳しくは、Rapid7 のセキュリティアドバイザリを参照してください。

Rapid7 のセキュリティアドバイザリ
https://community.rapid7.com/community/infosec/blog/2016/02/02/security-vulnerabilities-within-fisher-price-smart-toy-hereo-gps-platform

フィッシャープライスの Smart Toy を提供する Mattel, Inc. は次のように述べています。

"We recently learned of a security vulnerability with our Fisher-Price WiFi-connected Smart Toy Bear. We have remediated the situation and have no reason to believe that customer information was accessed by any unauthorized person. Mattel and Fisher-Price take the safety of our consumers and their personal data very seriously, which is why we act quickly to resolve potential vulnerabilities like this.

当社は先般、フィッシャープライス Wi-Fi 接続 Smart Toy Bear に関するセキュリティ上の脆弱性を知りました。既にこの問題は修正されており、顧客情報に対する不正アクセスも確認していません。Mattel およびフィッシャープライスでは、顧客と顧客の個人情報の安全を極めて重要であると考え、今回のような脆弱性の迅速な解決に取り組んでいきます。"
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 6.5 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 単一
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的
影響を受けるシステム


Mattel, Inc
  • フィッシャープライス Smart Toy 向けウェブサービス (API)

想定される影響

遠隔の攻撃者によって、当該製品に関連付けられた子供や親の個人情報を取得されたり、変更されたりする可能性があります。また玩具をのっとられる可能性があります。
対策

フィッシャープライスは、サービス側の変更によってこの問題を修正しています。
詳しくは、Mattel, Inc. またはフィッシャープライスにお問い合わせください。
ベンダ情報

Mattel, Inc
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 不適切な認証(CWE-287) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2015-8269
参考情報

  1. JVN : JVNVU#99349751
  2. National Vulnerability Database (NVD) : CVE-2015-8269
  3. US-CERT Vulnerability Note : VU#719736
  4. 関連文書 : Fisher-Price Smart Toy - Vulnerability R7-2015-27: Improper Authentication Handling (CVE-2015-8269)
  5. 関連文書 : This Fisher-Price Smart Toy Bear Had Data-Leak Vulnerability
  6. 関連文書 : Mattel Information for VU#719736
更新履歴

  • [2016年02月04日]
      掲載
    [2016年02月24日]
      参考情報:National Vulnerability Database (NVD) (CVE-2015-8269) を追加
      参考情報:関連文書 (Mattel Information for VU#719736) を追加

公表日2016/02/02
登録日2016/02/04
最終更新日2016/02/24