美国ToyTalk公司前一阵推出了一款能够连接Wi-Fi网络，而且还有配套移动应用的Hello Barbie娃娃（你好芭比），上周五有新闻说这个娃娃可被轻易攻破，而最新的安全研究则显示，这个娃娃的配套应用和云端连接服务器也存在安全问题。

　　应用安全技术团队Bluebox，以及独立研究人员Andrew Hay揭露称，该应用可被篡改，用于盗取私人信息，包括密码。同时还发现，应用还可以将一台移动设备连接到任意不安全的WiFi网络下，用于欺骗攻击、盗取数据。

　　这个配套的应用所用的身份凭证可被黑客再度利用。而在服务器方面，在应用以外，客户端的身份凭证就能被黑客利用，用于探测Hello Barbie云端服务器的更多漏洞。此外，研究还发现，ToyTalk服务器域所在云基础设施，比较容易受到POODLE攻击的影响，攻击者可借此降低连接的安全性，监听传往服务器的通讯内容，比如来自娃娃上传的对话内容。

　　Bluebox Labs实验室已经向ToyTalk揭露了Hello Barbie当前已知的所有关键安全问题，不少问题已经解决。在Bluebox的博客中，安全研究工程师Andrew Blaich表示：“所有已发现的问题都表明，需要更安全的应用部署，以及不止是在一般的移动应用中加入自我防御能力，Hello Barbie这样的IoT设备应用中也需要这样的特性。这次研究证明，IoT设备的配套移动应用的安全性需要引起高度重视。