当前位置:资讯 > 正文

不敢想象!某国产儿童手表泄露5000多儿童信息,还能假扮父母打电话

2019-11-29 10:57:51  来源:雷锋网

想想看,孩子走在放学路上,这时智能手表突然传来了急促的铃声。另一边,是孩子母亲的声音,她说这会正在买菜回去的路上,让孩子去找她汇合。

挂断电话,孩子听话地向约定地点走去,那里远远停着一辆面包车在等待,而里面坐着的,并不是孩子的母亲......

技术的发展,已经让上述情景走出电影荧幕,真实搬上了人们生活的舞台。

11月26日,测试机构AV-TEST的物联网测试部门发布报告称,他们发现一款由中国公司制造生产的智能儿童手表存在严重安全隐患,其中有5000多名儿童及其父母的个人详细信息和位置信息被曝光。

图片来源:zdnet

M2智能手表及漏洞分析

研究人员称,这款SMA-WATCH-M2手表由深圳市爱保护科技有限公司(SMA)制造生产,已经问世多年。

该手表需要与配套的移动应用程序一起使用,通常情况下,父母会在SMA服务上注册一个帐户,将孩子的智能手表与手机配对,然后使用该应用程序跟踪孩子的位置,进行语音通话或在孩子离开指定区域时获得通知。

这个概念并不新鲜,目前市场上充斥着大量类似产品,其价格从30美元到200美元不等。

AV-TEST首席执行官兼技术总监Maik Morgenstern称,在接受调查的数码产品评级中,SMA是市场上最不安全的产品之一。

这款手表允许任何人通过可公开访问的Web API查询智能手表的后端,这时移动应用程序还处于连接状态以用于检索其在父母手机上显示的数据的后端。

正常情况下,这一环节应该有一个身份验证令牌,可以防止未经授权的访问。尽管攻击者可以使用随机令牌来进行撞库攻击,但这并不意味着其没有存在意义。

一旦Web API公开,攻击者可以连接到该Web API循环浏览所有用户ID,并收集所有孩子及其父母的数据。

Morgenstern称,使用这种技术,他的团队能够识别出5000多名M2智能手表佩戴者和10000多名家长帐户。

大多数孩子分布在欧洲,其中包括荷兰、波兰、土耳其、德国、西班牙和比利时等国家,此外也在中国、香港和墨西哥等地发现了启用中的智能手表。

此外,SMA-WATCH-M2手表安装在父母手机上的移动应用程序也存在安全漏洞。

Morgenstern称,攻击者可以将其安装在自己的设备上,在应用程序的主配置文件中更改用户ID,并将其智能手机与孩子的智能手表配对,而无需输入帐户的电子邮件地址或密码。

攻击者将智能手机与孩子的智能手表配对后,便可以使用该应用程序的功能通过地图跟踪孩子,甚至可以拨打电话并与孩子进行语音聊天。

更糟糕的是,攻击者可以在给孩子错误的指示时更改移动帐户的密码,将父母账号锁定在应用程序之外。

手表依旧在售

发现漏洞后,AV-TEST第一时间与SMA取得联系,但是后者并未对此做出任何回应,只是提到该手表目前仍在通过该公司的网站和其他分销商出售(德国分销商Pearl已在报告后上架了M2)。

随后,AV-TEST还联系了英国标准协会(BSI),并希望履行其网络安全规范,对具备远程监听功能的儿童智能手表执行禁售。

编译来源:zdnet

推荐阅读

工信部组织了503人做监督携号转网

历时8个月,累计投资超30亿元,涉及1800多项系统建设改造,全国携号转网实时交互联动系统正式建成。从2010年11月在天津、海南开始试点到今 【详细】

印度宣布拟对网约车设佣金上限

北京时间11月28日下午消息,据路透社报道,印度计划针对打车应用如Uber和本土的Ola收取的乘车费用划定佣金上限,即不超过总乘车费用的10%。 【详细】

iPhone 11销售策略失败 苹果会推出革命性的新iPhone?

尽管苹果公司再一次没有公布iPhone的销售数据,但是分析人士报告说,第三季度的销售额下降了10%,这表明iPhone 11的销售策略失败了。那么 【详细】

“黑五”席卷全球 有人欢喜有人忧愁

[ 在美国,亚马逊正面临工会组织的压力。工人们对于商家的销售额不以为然,反倒认为越多的销售额意味着会有更多意外伤害情况的出现。据报 【详细】

常洁:2025年全球5G用户将达16亿

2019新浪金麒麟高峰论坛于11月28日在北京举行,主题为新征程 新使命。GSMA大中华区创新与生态合作总经理常洁发言称,2020年到2022年,中国 【详细】



科技新闻网版权