漏洞发现背景

toytalk是一家由皮克斯前高管创建的人工智能玩具初创公司，它们设计的智能玩具具备视觉跟踪、语音识别和网络扩展功能，能让儿童通过app与玩具之间进行语音交流和行为反应识别，激发儿童与虚拟人物的谈话能力，更好地实现与玩具之间的互动乐趣。

ToyTalk于2015年7月推出了一款名为“托马斯和他的朋友们与你聊天 ”（Thomas & Friends Talk To You）”的付费APP，能让儿童与知名卡通人物“小火车托马斯”（Thomas the Tank Engine）互动聊天，它允许儿童在 8 次多多岛故事之旅中，与托马斯及其朋友培西、高登、亨利、詹姆斯、爱德华、托比、“胖总管”托芬海先生（Sir Topham Hatt）进行双向对话。

为了测试ToyTalk玩具产品的安全性，以及接入家庭网络环境带来的安全风险，我决定对“托马斯和他的朋友们与你聊天 ”APP进行一些分析研究。由于ToyTalk产品都使用相同的代码库，而且这款托马斯对话APP很容易安装和删除，方便测试，也能有代表性。另外，ToyTalk的其它产品，如Hello Barbie（哈啰芭比）和Barbie Hello Dreamhouse （芭比梦幻之家）也可能存在相同漏洞。

漏洞情况

#漏洞1： - 缺乏身份验证机制，攻击者能很容易地假冒成一个儿童与托马斯玩具进行对话#漏洞2：- 可假冒support@toytalk.com或其它注册用户，发送注入HTML恶意钓鱼链接的邮件

APP工作原理分析

“托马斯和他的朋友们与你聊天 ”的APP启动后，要求输入提供一个家长的电子邮件地址，以确认使用APP提供的语音识别功能，当提交了电子邮件地址之后，APP进入运行界面。

刚开始，你可能会觉得该APP暴露的攻击面非常有限，因为它需要提供与玩具对话的确认权限。

接下来，我要对该APP进行网络浏览拦截分析。而且在分析中发现，该APP与其它应用不同，它提供了一个与客户端进行认证的证书，也就是说，APP和它的WEB服务器之间也会存在一个相互认证的过程。基于此，我们要先来看看客户端证书和相关密码验证的工作机制。

通过逆向后我们发现，以下两个函数比较有意思：

public void setSslClientCertificate(String filename, String passphrase) {
        InputStream file = null;
        try {
            KeyStore store = KeyStore.getInstance("PKCS12");
            file = this.mContext.getResources().getAssets().open(filename);
            store.load(file, passphrase.toCharArray());
            this.mClientCertificate = KeyManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
            this.mClientCertificate.init(store, new char[0]);
        } catch (Exception e) {
            Log.OMG(e);
         } finally {
            Utils.close(file);
        }
    }