インターネットに接続された玩具が増え、それに伴いデバイスのセキュリティリスクも高くなる中、IoTに対するリスクの意識を高めることにも力を入れているRapid7が2つの玩具に存在する脆弱性を公開した。同社が公開したのはFisher-PriceのSmart ToyとhereOの GPS Platformで、これらに脆弱性が存在する。
Smart ToyのAPIはメッセージのセンダーを適切に認証しないため、悪用されると攻撃者にリクエスト送信される恐れがある。この脆弱性が悪用されると、子供の名前や誕生日などが盗取され、更にはそれらを他のプロファイルと紐付けて不正な攻撃などに悪用される恐れがある。
hereOのGPS Platformはモバイルアプリとウォッチを使って家族間の居場所や行動などが確認できたり、ファミリーグループの招待などができる製品であるが、ファミリーグループの招待に認証をバイパスする脆弱性があり、この脆弱性が悪用されると攻撃者が標的とするファミリーグループに追加してグループメンバーの居場所を把握される恐れがある。
多くのアイディアによりIoTの市場が開拓されているが、テクノロジーの使用には潜在的リスクが存在していることも考える必要があると警告している。
