Categories
科技報導

某國產兒童手錶洩露5000多兒童信息 還能假扮父母打電話



技術的發展,已經讓上述情景走出電影熒幕,真實搬上了人們生活的舞台。 11月26日,測試機構AV-TEST的物聯網測試部門發布報告稱,他們發現一款由中國公司製造生產的智能兒童手錶存在嚴重安全隱患,其中有5000多名兒童及其父母的個人詳細信息和位置信息被曝光。

某國產兒童手錶洩露5000多兒童信息 還能假扮父母打電話 1

圖片來源:zdnet

M2智能手錶及漏洞分析

研究人員稱,這款SMA-WATCH-M2手錶由深圳市愛保護科技有限公司(SMA)製造生產,已經問世多年。

該手錶需要與配套的移動應用程序一起使用,通常情況下,父母會在SMA服務上註冊一個帳戶,將孩子的智能手錶與手機配對,然後使用該應用程序跟踪孩子的位置,進行語音通話或在孩子離開指定區域時獲得通知。

這個概念並不新鮮,目前市場上充斥著大量類似產品,其價格從30美元到200美元不等。

AV-TEST首席執行官兼技術總監Maik Morgenstern稱,在接受調查的數碼產品評級中,SMA是市場上最不安全的產品之一。

這款手錶允許任何人通過可公開訪問的Web API查詢智能手錶的後端,這時移動應用程序還處於連接狀態以用於檢索其在父母手機上顯示的數據的後端。

正常情況下,這一環節應該有一個身份驗證令牌,可以防止未經授權的訪問。儘管攻擊者可以使用隨機令牌來進行撞庫攻擊,但這並不意味著其沒有存在意義。

一旦Web API公開,攻擊者可以連接到該Web API循環瀏覽所有用戶ID,並收集所有孩子及其父母的數據。

Morgenstern稱,使用這種技術,他的團隊能夠識別出5000多名M2智能手錶佩戴者和10000多名家長帳戶。

某國產兒童手錶洩露5000多兒童信息 還能假扮父母打電話 2

大多數孩子分佈在歐洲,其中包括荷蘭、波蘭、土耳其、德國、西班牙和比利時等國家,此外也在中國、香港和墨西哥等地發現了啟用中的智能手錶。

此外,SMA-WATCH-M2手錶安裝在父母手機上的移動應用程序也存在安全漏洞。

Morgenstern稱,攻擊者可以將其安裝在自己的設備上,在應用程序的主配置文件中更改用戶ID,並將其智能手機與孩子的智能手錶配對,而無需輸入帳戶的電子郵件地址或密碼。

攻擊者將智能手機與孩子的智能手錶配對後,便可以使用該應用程序的功能通過地圖跟踪孩子,甚至可以撥打電話並與孩子進行語音聊天。

更糟糕的是,攻擊者可以在給孩子錯誤的指示時更改移動帳戶的密碼,將父母賬號鎖定在應用程序之外。

手錶依舊在售

發現漏洞後,AV-TEST第一時間與SMA取得聯繫,但是後者並未對此做出任何回應,只是提到該手錶目前仍在通過該公司的網站和其他分銷商出售(德國分銷商Pearl已在報告後上架了M2)。

隨後,AV-TEST還聯繫了英國標準協會(BSI),並希望履行其網絡安全規範,對具備遠程監聽功能的兒童智能手錶執行禁售。