美國ToyTalk公司前一陣推出了一款能夠連接Wi-Fi網絡，而且還有配套移動應用的Hello Barbie娃娃(你好芭比)，上周五有新聞說這個娃娃可被輕易攻破，而最新的安全研究則顯示，這個娃娃的配套應用和云端連接服務器也存在安全問題。

應用安全技術團隊Bluebox，以及獨立研究人員Andrew Hay揭露稱，該應用可被篡改，用于盜取私人信息，包括密碼。同時還發現，應用還可以將一臺移動設備連接到任意不安全的WiFi網絡下，用于欺騙攻擊、盜取數據。

這個配套的應用所用的身份憑證可被黑客再度利用。而在服務器方面，在應用以外，客戶端的身份憑證就能被黑客利用，用于探測Hello Barbie云端服務器的更多漏洞。此外，研究還發現，ToyTalk服務器域所在云基礎設施，比較容易受到POODLE攻擊的影響，攻擊者可借此降低連接的安全性，監聽傳往服務器的通訊內容，比如來自娃娃上傳的對話內容。

Bluebox Labs實驗室已經向ToyTalk揭露了Hello Barbie當前已知的所有關鍵安全問題，不少問題已經解決。在Bluebox的博客中，安全研究工程師Andrew Blaich表示：“所有已發現的問題都表明，需要更安全的應用部署，以及不止是在一般的移動應用中加入自我防御能力，Hello Barbie這樣的IoT設備應用中也需要這樣的特性。這次研究證明，IoT設備的配套移動應用的安全性需要引起高度重視。”