漏洞|不安全的儿童安全手表 可轻易跟踪位置窃听周围声音
儿童手表外形可爱,一般具有GPS和LBS双模式定位功能,孩子戴在手上,无论走到哪儿,家长都可以通过手机客户端查看孩子的活动范围,了解孩子一天的运动足迹。紧急情况下,孩子还可以一键求救,将信息发送到家长手机上。
儿童智能手表受追捧 通话和定位是卖点
一款既能实现和孩子双方通话,又能进行定位、发出求救信号的手表在很大程度上满足了家长对孩子多方面的监管需求。在某电商网站输入“儿童智能手表”,可以搜索到7.9万件相关商品。用销售量进行排序,排名第一的商家的月销售量高达2.6万只。我们还发现,用户对于手表的通话、定位等功能都给予了很高的评价。
在采访中,有家长表示很喜欢儿童智能手表的定位功能,“等孩子大一点,我就不用接她上下学了。有了智能手表她几点回家,我就很清楚了。”也有家长表示想给孩子买智能手表是出于安全的考虑,“呼叫孩子比较方便,主要是安全。”
多款儿童智能手表存严重漏洞
那么,这款手表真的像大家说的那样安全吗?
11月17日,国内网络安全反馈机构“乌云漏洞报告平台”对外公布报告指出,“某宝销售前32位智能手表有13款手表存在安全漏洞,可导致儿童被黑客实时监控,获取儿童的日常行走轨迹,实时环境声音”。
某智能设备安全技术公司负责人喻峰演示了黑客是如何入侵一款儿童智能手表的。
首先将一个手机和一款儿童智能手表进行绑定,而后尝试从电脑上入侵绑定的手表。
定位孩子所在位置
他在一个用于演示的黑客程序中输入家长的手机号,程序就开始破解手表信息,黑客程序很快破解手表的安全防线,成功入侵,在电脑上就可以看到这块手表的经纬度坐标,根据座标就可以在地图上定位到孩子所在的位置。
完整获取儿童日常行走路线
利用该漏洞,黑客不仅可以精准掌握手表所处的位置,还可以通过漏洞实时追踪该智能手表的行走路线,在地图上绘制出测试人员完整的行走轨迹,这样就能完整获取小朋友日常的行走路线。
这就意味着,原本只被家长掌握的定位信息,因为安全漏洞的存在而有可能被不法分子获取。
窃听儿童对话及周围声音
除此之外,黑客还可以监控儿童所处的环境,窃听小朋友的对话及周围的声音。
喻峰在测试用的黑客程序里输入一个电话号码,并通过已经侵入的安全漏洞发出监听指令。不一会儿,被侵入的儿童智能手表就开始向之前输入的手机号码拔号,接通电话后,能清楚地听到小朋友周围的声音,根据位置和环境声音,能判断这位小朋友位于广州,应该正在上课。
只要手表处于正常使用状态,黑客就可以在家长和孩子完全不知情的情况下进行窃听和监控,也就相当于在家里放了一个定位窃听器。
提取手表中手机号码等敏感信息
不仅如此,黑客入侵儿童智能手表之后,还可以提取手表中的敏感信息,比如父母的手机号码。
业内专家李崇欣介绍,黑客要获取孩子的信息,第一个就是通过安全漏洞进行越权,这样使他能够查看手表的信息。第二个就是手表的数据没有加密,在传输的过程中窃取数据,也可以看到小孩的位置,截获信息。
硬件问题待解决,安全标准待出台
这样一个高危漏洞的存在,手表的生产厂家是否知道?他们又是怎么处理的呢?
乌云漏洞报告显示,他们发现了13款存在接口越权漏洞的儿童智能手表。其中多款手表使用的是一家公司的产品设计方案。
该公司销售人员介绍,现在市面上80%的产品用的都是他们的方案,对于上述的安全漏洞,他称“只是软件中的小BUG而已,很正常”。
安全测试人员介绍,该公司目前已经修复了此次发现的漏洞。但是,市场上还有不少其它类似的厂家存在同样的问题,亟待解决。
业内专家杨卿表示,现在很多厂商用的是通用方案,没有投入太多研发成本,只是做一些简单的修改,然后贴上logo,这样就变成自已的产品上市了。一旦产品的设计方案有问题,那么它涉及的所有产品都会出现同样的问题。
记者了解到,目前国家对于儿童安全手表等智能穿戴设备还没有统一的规范,这类产品在信息安全方面的质量参差不齐,打着“安全”旗号的手表可能反而让儿童更不安全。
专家呼吁,希望国家尽快出台相关的安全标准,保证这些智能儿童手表上市的时候,通过信息安全的相关测试。
猜你喜欢
来源/央视新闻 本期监制/李骏 主编/李浙 记者/叶奂 编辑/李伟
©央视新闻