洩漏大量個資!智慧型兒童手錶存安全隱患
合作媒體:雷鋒網
靈火K / 何渝婷編譯 2019-11-28 11:45

(示意圖/取自pixabay)

 

想想看,孩子走在放學路上,這時智慧型手錶突然傳來了急促的鈴聲。另一邊,是孩子母親的聲音,她說這會正在買菜回去的路上,讓孩子去找她會合。

 

掛斷電話,孩子聽話地向約定地點走去,那裡遠遠停著一輛麵包車在等待,而裡面坐著的,並不是孩子的母親......

 

技術的發展,已經讓上述情景走出電影螢幕,真實搬上了人們生活的舞台。

 

11月26日,測試機構AV-TEST的物聯網測試部門發布報告稱,他們發現一款由中國公司製造生產的智慧型兒童手錶,存在嚴重安全隱患,其中有5000多名兒童及其父母的個人詳細資料和位置都被曝光。

 

(圖片來源:zdnet)

 

M2智慧型手錶及漏洞分析

 

研究人員稱,這款SMA-WATCH-M2手錶由深圳市愛保護科技有限公司(SMA)製造生產,已經問世多年。

 

該手錶需要與配套的行動應用程式一起使用,通常情況下,父母會在SMA服務上註冊一個帳戶,將孩子的智慧型手錶與手機配對,然後使用該應用程式追蹤孩子的位置,進行語音通話或在孩子離開指定區域時獲得通知。

 

這個概念並不新鮮,目前市場上充斥著大量類似產品,其價格從30美元到200美元不等。

 

AV-TEST執行長兼技術總監Maik Morgenstern稱,在接受調查的數位產品評級中,SMA是市場上最不安全的產品之一。

 

這款手錶允許任何人通過可公開訪問的Web API,查詢智慧手錶的後端,這時行動應用程式還處於連接狀態,以用於檢索其在父母手機上顯示的數據後端。

 

正常情況下,這一環節應該有一個授權令牌,可以防止未經授權的訪問。儘管攻擊者可以使用隨機令牌來進行憑證填充攻擊(Credential Stuffing Attacks),但這並不意味著其沒有存在意義。

 

一旦Web API公開,攻擊者可以連接到該Web API,循環瀏覽所有用戶ID,並收集所有孩子及其父母的數據。

 

Morgenstern稱,使用這種技術,他的團隊能夠辨識出5000多名M2智慧型手錶佩戴者,和10000多名家長帳戶。

 

 

大多數孩子分布在歐洲,其中包括荷蘭、波蘭、土耳其、德國、西班牙和比利時等國家,此外也在中國、香港和墨西哥等地發現了啓用中的智慧型手錶。

 

此外,SMA-WATCH-M2手錶安裝在父母手機上的行動應用程式,也存在安全漏洞。

 

Morgenstern稱,攻擊者可以將其安裝在自己的設備上,在應用程式的主配置文件中更改用戶ID,並將其智慧型手機與孩子的智慧型手錶配對,而無需輸入帳戶的電子郵件位址或密碼。

 

攻擊者將智慧型手機與孩子的智慧型手錶配對後,便可以使用該應用程式的功能,透過地圖跟蹤孩子,甚至可以撥打電話並與孩子進行語音聊天。

 

更糟糕的是,攻擊者可以在給孩子錯誤的指示時,更改行動帳戶的密碼,將父母帳號鎖定在應用程式之外。

 

手錶依舊在售

 

發現漏洞後,AV-TEST第一時間與SMA取得聯繫,但是後者並未對此做出任何回應,只是提到該手錶目前仍在通過該公司的網站和其他分銷商出售(德國分銷商Pearl已在報告後上架了M2)。

 

隨後,AV-TEST還聯繫了英國標準協會(BSI),並希望履行其網路安全規範,對具備遠程監聽功能的兒童智慧型手錶執行禁售。

 

本文為雷鋒網授權刊登,原文標題為「某國產兒童手錶洩露5000多兒童信息,還能假扮父母打電話