近兩年,不少家長給孩子購買了兒童智能手表。智能手表不僅可以打電話、實時定位,有的還可以幫助孩子及時求救;家長甚至可以在不打擾孩子的情況下實現(xiàn)實時監(jiān)聽。大部分家長給孩子購買兒童智能手表的初衷是為了獲得一份安全感,這種看似“一切盡在掌握”的安全感真的靠譜嗎?華商報本期《好奇心》對此進(jìn)行了驗證。
實驗時間:2016年3月23日
實驗地點:西安四葉草信息技術(shù)有限公司CloverSec實驗室
實驗人員:安全研究員袁偉
實驗顧問:網(wǎng)絡(luò)安全專家、西安四葉草信息技術(shù)有限公司CEO馬坤
新聞背景
《焦點訪談》曝光
兒童智能手表存安全漏洞
2月23日,央視《焦點訪談》欄目邀請國內(nèi)一家網(wǎng)絡(luò)安全反饋機(jī)構(gòu)對兒童智能手表安全問題進(jìn)行驗證。結(jié)果證明,“部分兒童智能手表存在安全漏洞,可導(dǎo)致兒童被黑客實時監(jiān)控,獲取兒童的日常行走軌跡,以及實時環(huán)境聲音”。
技術(shù)人員介紹,只要手表處于正常使用狀態(tài),黑客就可以在家長和孩子完全不知情的情況下進(jìn)行竊聽和監(jiān)控,也就相當(dāng)于在家里放了一個“定位竊聽器”。
據(jù)媒體報道,成都一些學(xué)校已經(jīng)不允許學(xué)生在學(xué)校使用兒童智能手表,而西安部分學(xué)校老師也不讓孩子戴這樣的手表。
實驗驗證
利用網(wǎng)絡(luò)技術(shù)
外人也可綁定孩子智能手表
CloverSec實驗室安全研究員袁偉最近發(fā)現(xiàn)了一個問題:國內(nèi)一家著名漏洞報告平臺2015年9月已報告了某品牌智能兒童手表的安全漏洞問題,由于該品牌兒童智能手表后臺沒有對訪問者進(jìn)行嚴(yán)格審查,可能會被人越權(quán)操作。但廠商對此漏洞一直沒有及時彌補(bǔ)。這究竟會造成怎樣的情形?袁偉向華商報記者做了實驗演示。
他準(zhǔn)備了一塊該品牌兒童智能手表,在兩部手機(jī)上分別下載了有關(guān)APP。按照正常使用程序,他先用其中一部手機(jī)號碼在APP上進(jìn)行注冊,然后掃描二維碼和其手表綁定,并按照一般家庭的情形對手表進(jìn)行了設(shè)置。接下來,袁偉用第二部手機(jī)號碼通過APP申請注冊后,未通過正常綁定程序,而是利用技術(shù)手段將第二部手機(jī)注冊賬號與第一塊手表“綁定”了!
如此一來,通過第二部手機(jī)的相關(guān)APP,也可以看到兒童智能手表的所有信息。這些信息包括“孩子”的實時位置、歷史位置軌跡回放,生日、性別、身高、體重、年級等個人信息,以及家庭成員的手機(jī)號等信息。
此外,利用APP的相關(guān)功能還可以和孩子語音聊天,給孩子撥打電話。進(jìn)入管理界面,還可以對手表進(jìn)行設(shè)置。袁偉說,通過技術(shù)手段,甚至可以斷開家長手機(jī)和孩子智能手表的聯(lián)系。
袁偉介紹,這些漏洞隱患非常嚴(yán)重,通過網(wǎng)絡(luò)技術(shù),黑客甚至可以“綁定”外地某部正在使用的該品牌兒童智能手表,并獲取使用者的地理位置及身份信息。
專家分析
廠家為壓縮成本忽視數(shù)據(jù)安全
黑客可輕松訪問服務(wù)器
西安四葉草信息技術(shù)有限公司CEO馬坤指出,目前大部分兒童智能手表在出廠前都沒有經(jīng)過信息安全檢測,建議家長慎重選擇。他介紹說,一些兒童智能手表之所以容易被黑客侵襲,主要是廠商為了壓縮成本,導(dǎo)致獲取服務(wù)器數(shù)據(jù)非常簡單:
1、使用通用的云端方案,方案完全公開,易被黑客破解;
2、簡單的注冊、登錄系統(tǒng),極容易泄露用戶密碼;
3、沒有簽名機(jī)制,數(shù)據(jù)傳輸過程中可隨意篡改;
4、賬戶ID為順序分配,容易被猜中,例如A賬戶ID為100,101即為B賬戶;
5、沒有云端鑒權(quán)機(jī)制,黑客可非法訪問任意數(shù)據(jù)而不被拒絕。正是由于這些原因,黑客可輕松訪問一些智能兒童手表的服務(wù)器,以A賬戶的訪問方法,獲取B賬戶信息。
馬坤表示,如果家長確實需要購買兒童智能手表,建議認(rèn)準(zhǔn)有入網(wǎng)許可證,國家3C認(rèn)證等相關(guān)國家級證件的正規(guī)產(chǎn)品。
多知道些
兒童智能手表輻射問題引關(guān)注
除了信息安全問題,兒童智能手表的電磁輻射問題也引人關(guān)注。
2015年9月,央視《第一時間》欄目讓記者到網(wǎng)上和實體店買了3款兒童定位手表,價格分別是148元、380元、798元,然后請大連理工大學(xué)物理與廣電工程學(xué)院進(jìn)行輻射檢測,同時還準(zhǔn)備了三部手機(jī)做對比檢測。結(jié)果顯示,在待機(jī)狀態(tài)下,兒童定位手表與手機(jī)的輻射值相同,均在0.002uW/c㎡。但在撥打電話時輻射值變化巨大,其中148元的兒童定位手表在撥打電話時的輻射峰值最高達(dá)2900,是手機(jī)撥打電話時的1000倍;另外798元的兒童定位手表撥打電話時的輻射峰值達(dá)2100,名列第二;而最后一個380元的兒童定位手表,撥打電話時的峰值僅為176。說明兒童定位手表的輻射與價格關(guān)系不大。
專家表示,智能手表由于受到區(qū)域面積的限制,廠商在提高通話質(zhì)量的時候,可能會把天線或是發(fā)射頻率做的更大一些。目前市面上的手機(jī)需要經(jīng)過輻射檢測,只有對人體處于安全范圍的手機(jī)才能獲得入網(wǎng)許可證,而兒童定位手表卻沒有相應(yīng)的生產(chǎn)標(biāo)準(zhǔn)。節(jié)目提醒,發(fā)射功率較高的手表不易長期佩戴。
同樣的選題,北京衛(wèi)視也做了實驗。結(jié)果顯示,實驗樣品兒童智能手表輻射數(shù)值小于微波爐,大于電磁爐和手機(jī),是手機(jī)輻射值的1.5倍。所以特別提醒,讓孩子別把智能手表靠近頭部。此外,智能兒童手表還可能帶來其他問題,比如孩子可能把它當(dāng)玩具,從而導(dǎo)致學(xué)習(xí)分心。所以,給孩子買還是不買,最好考慮清楚。