公開日:2016/02/03 最終更新日:2016/02/03

JVNVU#99349751
フィッシャープライス Smart Toy 向けウェブサービスにおいて認証なしで API を呼び出せる脆弱性

概要

フィッシャープライスの Smart Toy 向けウェブサービスでは、複数の API 呼出しにおいて適切な認証を行っていません。また、Smart Toy の玩具には脆弱なバージョンの Android OS が使用されている可能性があります。

影響を受けるシステム

  • フィッシャープライス Smart Toy 向けウェブサービス (API)

詳細情報

フィッシャープライスの Smart Toy Bear は、Wi-Fi 接続機能を持つ IoT 玩具です。この玩具は、ネットワーク機能を使用することで、ユーザである子供との更なるインタラクションを提供します。

不適切な認証 (CWE-287) - CVE-2015-8269
フィッシャープライスの Smart Toy では、予測可能な番号を使ってユーザアカウントを登録しています。Smart Toy のアカウントを持つ攻撃者は、他のアカウントに対してクエリやコマンドを実行することが可能です。攻撃者は、発行したクエリによって、名前、誕生日、性別など、他のユーザの情報を取得することが可能です。また、他のユーザの一部の情報を編集したり、登録されている玩具を他のアカウントに関連付けることが可能です。

Rapid7 の研究者によると、アカウントのすべてのデータが変更もしくは取得可能ではなく、影響は限定的とのことです。また、この研究者は Smart Toy が Android 4.4 (KitKat) で動作しているとしています。現時点で、Smart Toy 製品に対して最新の Android セキュリティパッチが適用されているかどうかは不明です。

詳しくは、Rapid7 のセキュリティアドバイザリを参照してください。

フィッシャープライスの Smart Toy を提供する Mattel, Inc. は次のように述べています。

"We recently learned of a security vulnerability with our Fisher-Price WiFi-connected Smart Toy Bear. We have remediated the situation and have no reason to believe that customer information was accessed by any unauthorized person. Mattel and Fisher-Price take the safety of our consumers and their personal data very seriously, which is why we act quickly to resolve potential vulnerabilities like this.

当社は先般、フィッシャープライス Wi-Fi 接続 Smart Toy Bear に関するセキュリティ上の脆弱性を知りました。既にこの問題は修正されており、顧客情報に対する不正アクセスも確認していません。Mattel およびフィッシャープライスでは、顧客と顧客の個人情報の安全を極めて重要であると考え、今回のような脆弱性の迅速な解決に取り組んでいきます。"

想定される影響

遠隔の攻撃者によって、当該製品に関連付けられた子供や親の個人情報を取得されたり、変更されたりする可能性があります。また玩具をのっとられる可能性があります。

対策方法

フィッシャープライスは、サービス側の変更によってこの問題を修正しています。
詳しくは、Mattel, Inc. またはフィッシャープライスにお問い合わせください。

ベンダ情報

参考情報

  1. CERT/CC Vulnerability Note VU#719736
    Fisher-Price Smart Toy platform allows some unauthenticated web API commands
  2. Rapid7
    Fisher-Price Smart Toy® - Vulnerability R7-2015-27: Improper Authentication Handling (CVE-2015-8269)
  3. Fortune
    This Fisher-Price Smart Toy Bear Had Data-Leak Vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L
基本値: 7.4
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:L/Au:S/C:P/I:P/A:P
基本値: 6.5
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2015-8269
JVN iPedia