Wi-Fiでクラウドに接続し、AIを使用した会話のできるマテルのバービー人形「Hello Barbie」で、専用アプリやサーバーにさまざまなセキュリティ上の問題が見つかったそうだ(Bluebox Securityのブログ記事、 The Registerの記事、 BetaNewsの記事、 Ars Technicaの記事)。

Hello Barbieは発表当初からプライバシー侵害が懸念されており、11月には実際に盗聴などが可能だと報じられていた。一方、Hello Barbieの技術面の開発を担当したToyTalkでは、報じられている「ハック」は人形への物理的なアクセスが必要なものや専用アプリの設定インターフェイスを使用するもので、録音された音声や登録メールアドレス、Wi-Fiパスワードといった情報にアクセスすることはできないと説明している。

モバイルアプリはToyTalkが開発したもので、サーバーもToyTalkの管理下にある。AndroidとiOSに対応するアプリは攻撃者が認証情報の再利用が可能となっており、名前に「Barbie」が含まれる任意のWi-Fiネットワークに接続してしまうという。クライアント証明書の認証情報はアプリ以外でも使用可能で、攻撃者が任意のHello Barbieクラウドサーバーを調べることが可能となる。さらにToyTalkのサーバードメインは、POODLE攻撃の影響を受けやすいクラウドインフラストラクチャ上に置かれていたとのこと。

なお、これらの問題を発見したBlueboxでは公表前にToyTalkへ連絡しており、多くは既に修正済みとのことだ。