洩漏大量個資！智慧型兒童手錶存安全隱患

（示意圖/取自pixabay）

想想看，孩子走在放學路上，這時智慧型手錶突然傳來了急促的鈴聲。另一邊，是孩子母親的聲音，她說這會正在買菜回去的路上，讓孩子去找她會合。

掛斷電話，孩子聽話地向約定地點走去，那裡遠遠停著一輛麵包車在等待，而裡面坐著的，並不是孩子的母親......

技術的發展，已經讓上述情景走出電影螢幕，真實搬上了人們生活的舞台。

11月26日，測試機構AV-TEST的物聯網測試部門發布報告稱，他們發現一款由中國公司製造生產的智慧型兒童手錶，存在嚴重安全隱患，其中有5000多名兒童及其父母的個人詳細資料和位置都被曝光。

（圖片來源：zdnet）

M2智慧型手錶及漏洞分析

研究人員稱，這款SMA-WATCH-M2手錶由深圳市愛保護科技有限公司（SMA）製造生產，已經問世多年。

該手錶需要與配套的行動應用程式一起使用，通常情況下，父母會在SMA服務上註冊一個帳戶，將孩子的智慧型手錶與手機配對，然後使用該應用程式追蹤孩子的位置，進行語音通話或在孩子離開指定區域時獲得通知。

這個概念並不新鮮，目前市場上充斥著大量類似產品，其價格從30美元到200美元不等。

AV-TEST執行長兼技術總監Maik Morgenstern稱，在接受調查的數位產品評級中，SMA是市場上最不安全的產品之一。

這款手錶允許任何人通過可公開訪問的Web API，查詢智慧手錶的後端，這時行動應用程式還處於連接狀態，以用於檢索其在父母手機上顯示的數據後端。

正常情況下，這一環節應該有一個授權令牌，可以防止未經授權的訪問。儘管攻擊者可以使用隨機令牌來進行憑證填充攻擊(Credential Stuffing Attacks)，但這並不意味著其沒有存在意義。

一旦Web API公開，攻擊者可以連接到該Web API，循環瀏覽所有用戶ID，並收集所有孩子及其父母的數據。

Morgenstern稱，使用這種技術，他的團隊能夠辨識出5000多名M2智慧型手錶佩戴者，和10000多名家長帳戶。

大多數孩子分布在歐洲，其中包括荷蘭、波蘭、土耳其、德國、西班牙和比利時等國家，此外也在中國、香港和墨西哥等地發現了啓用中的智慧型手錶。

此外，SMA-WATCH-M2手錶安裝在父母手機上的行動應用程式，也存在安全漏洞。

Morgenstern稱，攻擊者可以將其安裝在自己的設備上，在應用程式的主配置文件中更改用戶ID，並將其智慧型手機與孩子的智慧型手錶配對，而無需輸入帳戶的電子郵件位址或密碼。

攻擊者將智慧型手機與孩子的智慧型手錶配對後，便可以使用該應用程式的功能，透過地圖跟蹤孩子，甚至可以撥打電話並與孩子進行語音聊天。

更糟糕的是，攻擊者可以在給孩子錯誤的指示時，更改行動帳戶的密碼，將父母帳號鎖定在應用程式之外。

手錶依舊在售

發現漏洞後，AV-TEST第一時間與SMA取得聯繫，但是後者並未對此做出任何回應，只是提到該手錶目前仍在通過該公司的網站和其他分銷商出售（德國分銷商Pearl已在報告後上架了M2）。

隨後，AV-TEST還聯繫了英國標準協會（BSI），並希望履行其網路安全規範，對具備遠程監聽功能的兒童智慧型手錶執行禁售。