[摘要] 很多兒童智能手表具有電話呼叫和定位功能,目的是讓家長隨時聯系到孩子,確保孩子的安全。但是,這類手表被曝存在安全隱患,遭黑客攻擊后反而容易泄露個人信息。
很多兒童智能手表具有電話呼叫和定位功能,目的是讓家長隨時聯系到孩子,確保孩子的安全。但是,這類手表被曝存在安全隱患,遭黑客攻擊后反而容易泄露個人信息。
為“安全”而設計的手表反而具有安全隱患,黑客究竟是如何攻擊智能手表的?智能手表比手機電腦更易遭到襲擊嗎?挑選兒童智能手表時應注意什么?
德國禁售兒童智能手表
兒童智能手表的安全問題受到多國關注。
據英國廣播公司(BBC)報道,德國聯邦網絡局禁止在該國銷售兒童智能手表,敦促家長把現有的兒童手表銷毀,并稱其為監聽設備。該機構已對多家在網上銷售此類手表的公司采取了措施。
關于禁售的原因,報道猜測可能是因為侵犯隱私或手表的安全漏洞問題。
據英BBC報道,德國聯邦網絡局禁止在該國銷售兒童智能手表。來源:BBC官網截圖。
今年10月,挪威消費者理事會在報告中指出,部分兒童手表存在漏洞,比如在沒有加密的情況下傳輸和存儲數據。“這意味著陌生人使用基本的黑客技術,就能追蹤兒童的行動,或者讓一個孩子看起來在一個完全不同的位置。”報告稱。
早在2015年,我國媒體曾曝光多個品牌的兒童智能手表存在嚴重安全漏洞,黑客不僅可以精準掌握手表所處的位置,還能完整獲取兒童日常行走路線,竊聽兒童對話及周圍聲音。
黑客如何攻擊智能手表?
記者了解到,兒童智能手表都有相應的手機軟件(App),用于家長注冊、綁定手表,在手機App中可以設置兒童的姓名、生日等信息,也可以發送指令,比如查詢位置、通話等。
那么,黑客是如何攻擊智能手表的?
西安四葉草信息技術有限公司高級安全研究員余俊峰說,手機App中設置的信息和發送的指令會傳到智能手表云端服務器,云端服務器和手表之間也相互發送一些功能指令。
“正常情況下,用戶A只能對自己綁定的智能手表發送信息和指令,但由于智能手表云端程序沒有對用戶身份和要執行的指令進行權限判斷,導致用戶A也可以對未綁定的其他智能手表進行操作。這就導致了越權漏洞。”他說。
關于“越權漏洞”,余俊峰解釋說,比如黑客在某銀行有銀行卡,正常情況下只能從自己的銀行卡中取錢,但黑客把銀行卡號修改成別人的,從別人的銀行卡上把錢取出來了,銀行沒有判斷取款人是否有權從這個銀行卡取錢,這就是越權漏洞。
廠商設計不規范導致漏洞出現
不過,兒童智能手表的安全問題不能簡單歸結為技術問題。
2015年,國內多個品牌的兒童智能手表被曝存在“越權漏洞”。談到這一問題,360兒童手表產品總監孫浩告訴中新網記者,這其實是比較低級的漏洞,能做到這一點的前提是在服務端接口設計上就不規范,使攻擊者能越過一些認證手段,非法獲取手表的隱私信息。
“更進一步,根本原因在于2015年兒童手表市場爆發,很多小的廠商進入市場,他們沒有完善的設計研發能力,采用市面上一些公板方案,在產品的技術方案設計上就有問題。”孫浩說。
余俊峰認為,有些廠商為了產品盡早上市占領市場,缺乏足夠的設計、開發、測試時間,導致漏洞百出;也有些廠商獲知白帽黑客提交的漏洞細節后,沒有采取任何補救措施,對漏洞置之不理,任由漏洞存在。
智能手表比手機電腦更易遭到襲擊嗎?
從技術上來看,兒童智能手表是否比手機、電腦更容易被黑客入侵呢?
孫浩說,其實兒童手表相對手機、電腦更安全。兒童手表功能相對單一,沒有瀏覽器、第三方應用,也屏蔽了短信、彩信等功能,通話上有白名單機制。不會像手機和電腦那樣受到釣魚網站、惡意軟件、詐騙電話和短信的威脅。
“目前來看,沒有證據表明兒童智能手表更容易被黑客入侵。”余俊峰說,但是,部分兒童智能手表安全漏洞比較多,存在很大被攻擊的風險,可能會引起惡意黑客或黑色產業人員的關注,從而引發攻擊事件。
360兒童手表產品總監孫浩說,越權漏洞等問題在360兒童手表等大品牌產品上不會出現。(邱宇)
原標題:還買給孩子?部分兒童智能手表存隱患 成監聽設備
