主打“安全牌”的儿童智能手表被曝出安全漏洞

智东西(公众号:zhidxcom)
文 | 四月

近日,频有新闻曝出具有网络和通信功能的智能手表已成为黑客的新阵地。然而,偏向于定位和互动功能的儿童智能手表也未能于难。其实,早在去年10月份的智能设备挑战大赛GeekPwn上,360安全应急响应中心便承认并发布了360儿童卫士2存在漏洞。但或许这只是儿童智能手表安全性能隐患的冰山一角……

据悉,一项基于MTK系统平台的的智能手表方案在研发过程的意外发现在业界引起了不小波动。该发现指出,在淘宝销售前32位的儿童智能手表产品中有13款均存在接口越权漏洞,危害等级高。漏洞产品涉及久方、普耐尔、智多星、安得乐、Wonsee、锋立、亦青藤等,不涉及360安全卫士、小天才电话手表。该漏洞影响用户跨度较大,可导致超百万儿童被黑客实时监控,获取儿童的日常行走轨迹,实时环境声音等。

主打“安全牌”的儿童智能手表被曝出安全漏洞

图1   漏洞影响全国各地的用户(仅部分数据的查询结果)

随后,智能设备安全的Numen Team小组也证实了此发现,他们表示,攻击者可利用漏洞查询智能手表连接的服务器,遍历所有客户信息,并根据相应ID直接查看孩子的地理位置、实时监控孩子的地理坐标、日常活动轨迹及环境录音。Numen Team团队主要专注于智能家居、物联网、可穿戴设备的安全研究。

主打“安全牌”的儿童智能手表被曝出安全漏洞

图2  利用漏洞可查看任意孩子的地理坐标

曾经声称可以为家长提供孩子“安全”定位及监控功能的儿童智能手表,现在却被发现其背后存在的巨大安全隐患,尤其对象还是缺乏自我防卫能力的孩子,确实令人担忧。可以想象,如果以上关键信息被不怀好意的人利用,将会带来极为严重的后果。以前,我们的孩子在户外时,随机地遭遇意外;现在,可能面临的则是更加明确的、有目的性的攻击。

另外,Numen Team团队负责人毕裕表示,儿童智能手表安全漏洞的发现令整个团队十分不安,他们已向所有涉及到的厂商通报,并给出了详细的漏洞修复意见,期待相关厂商尽快解决。

主打“安全牌”的儿童智能手表被曝出安全漏洞