De Fisher-Price speelgoedtelefoon, wie kent hem niet? Het iconische stuk speelgoed heeft al enige tijd een ‘opvolger’ speciaal voor volwassenen, de Chatter Phone. Met dit toestel kunnen echte telefoontjes worden gepleegd. Het apparaat moet daarvoor wel via bluetooth met je smartphone worden verbonden en daar gaat het mis.
Door een bug in de bluetooth-stack van de Chatter Phone is het mogelijk om onbeveiligde verbindingen te maken. Het pairing-proces kan op deze manier misbruikt worden om mensen af te luisteren. Het probleem is ontdekt door Ken Munro van het beveiligingsbedrijf Pen Test Partners en hij nam meteen contact op met Tech Crunch om zijn bevindingen te delen. De nieuwssite schafte een exemplaar aan en ging testen hoe erg het gesteld was met de beveiliging.
Uit de test van de nieuwssite blijkt dat het inderdaad zeer makkelijk is om verbinding te maken met de Chatter Phone. Normaal gesproken is het de bedoeling dat het pairing mechanisme na enkele minuten een time-out krijgt als het niet lukt om verbinding te maken met een smartphone. De telefoon van Fisher-Price doet dat echter niet en blijft ruim een uur zoeken naar een toestel met bluetooth. Als een gebruiker met een ongeautoriseerd toestel verbinding maakt, kan deze de Chatter phone gebruiken.
Een ander probleem is dat de chatter phone automatisch opneemt en de microfoon inschakelt als de hoorn niet goed op haak ligt, waardoor gebruikers kunnen worden afgeluisterd. Munro maakt zich zorgen omdat hij denkt dat het toestel uiteindelijk toch bij kinderen terecht komt. Zij kunnen de audio bug vrij makkelijk triggeren door de hoorn niet netjes op de haak te doen als zij klaar zijn met spelen.
Het is niet duidelijk of de Chatter Phone kan worden voorzien van nieuwe firmware. Het apparaat kan in elk geval niet worden bediend via een app. De fabrikant heeft aan Tech Crunch laten weten dat het de meldingen omtrent de bug onderzoekt.
Bron: Techcrunch
