可能被黑客實時監(jiān)控

責(zé)任編輯:editor006

作者:馬虎振

2016-04-12 17:26:17

摘自:華商網(wǎng)-華商報

近兩年,不少家長給孩子購買了兒童智能手表。據(jù)媒體報道,成都一些學(xué)校已經(jīng)不允許學(xué)生在學(xué)校使用兒童智能手表,而西安部分學(xué)校老師也不讓孩子戴這樣的手表。馬坤表示,如果家長確實需要購買兒童智能手表,建議認(rèn)準(zhǔn)有入網(wǎng)許可證,國家3C認(rèn)證等相關(guān)國家級證件的正規(guī)產(chǎn)品。

 

近兩年,不少家長給孩子購買了兒童智能手表。智能手表不僅可以打電話、實時定位,有的還可以幫助孩子及時求救;家長甚至可以在不打擾孩子的情況下實現(xiàn)實時監(jiān)聽。大部分家長給孩子購買兒童智能手表的初衷是為了獲得一份安全感,這種看似“一切盡在掌握”的安全感真的靠譜嗎?華商報本期《好奇心》對此進(jìn)行了驗證。

實驗時間:2016年3月23日

實驗地點:西安四葉草信息技術(shù)有限公司CloverSec實驗室

實驗人員:安全研究員袁偉

實驗顧問:網(wǎng)絡(luò)安全專家、西安四葉草信息技術(shù)有限公司CEO馬坤

新聞背景

《焦點訪談》曝光

兒童智能手表存安全漏洞

2月23日,央視《焦點訪談》欄目邀請國內(nèi)一家網(wǎng)絡(luò)安全反饋機(jī)構(gòu)對兒童智能手表安全問題進(jìn)行驗證。結(jié)果證明,“部分兒童智能手表存在安全漏洞,可導(dǎo)致兒童被黑客實時監(jiān)控,獲取兒童的日常行走軌跡,以及實時環(huán)境聲音”。

技術(shù)人員介紹,只要手表處于正常使用狀態(tài),黑客就可以在家長和孩子完全不知情的情況下進(jìn)行竊聽和監(jiān)控,也就相當(dāng)于在家里放了一個“定位竊聽器”。

據(jù)媒體報道,成都一些學(xué)校已經(jīng)不允許學(xué)生在學(xué)校使用兒童智能手表,而西安部分學(xué)校老師也不讓孩子戴這樣的手表。

實驗驗證

利用網(wǎng)絡(luò)技術(shù)

外人也可綁定孩子智能手表

CloverSec實驗室安全研究員袁偉最近發(fā)現(xiàn)了一個問題:國內(nèi)一家著名漏洞報告平臺2015年9月已報告了某品牌智能兒童手表的安全漏洞問題,由于該品牌兒童智能手表后臺沒有對訪問者進(jìn)行嚴(yán)格審查,可能會被人越權(quán)操作。但廠商對此漏洞一直沒有及時彌補(bǔ)。這究竟會造成怎樣的情形?袁偉向華商報記者做了實驗演示。

他準(zhǔn)備了一塊該品牌兒童智能手表,在兩部手機(jī)上分別下載了有關(guān)APP。按照正常使用程序,他先用其中一部手機(jī)號碼在APP上進(jìn)行注冊,然后掃描二維碼和其手表綁定,并按照一般家庭的情形對手表進(jìn)行了設(shè)置。接下來,袁偉用第二部手機(jī)號碼通過APP申請注冊后,未通過正常綁定程序,而是利用技術(shù)手段將第二部手機(jī)注冊賬號與第一塊手表“綁定”了!

如此一來,通過第二部手機(jī)的相關(guān)APP,也可以看到兒童智能手表的所有信息。這些信息包括“孩子”的實時位置、歷史位置軌跡回放,生日、性別、身高、體重、年級等個人信息,以及家庭成員的手機(jī)號等信息。

此外,利用APP的相關(guān)功能還可以和孩子語音聊天,給孩子撥打電話。進(jìn)入管理界面,還可以對手表進(jìn)行設(shè)置。袁偉說,通過技術(shù)手段,甚至可以斷開家長手機(jī)和孩子智能手表的聯(lián)系。

袁偉介紹,這些漏洞隱患非常嚴(yán)重,通過網(wǎng)絡(luò)技術(shù),黑客甚至可以“綁定”外地某部正在使用的該品牌兒童智能手表,并獲取使用者的地理位置及身份信息。

專家分析

廠家為壓縮成本忽視數(shù)據(jù)安全

黑客可輕松訪問服務(wù)器

西安四葉草信息技術(shù)有限公司CEO馬坤指出,目前大部分兒童智能手表在出廠前都沒有經(jīng)過信息安全檢測,建議家長慎重選擇。他介紹說,一些兒童智能手表之所以容易被黑客侵襲,主要是廠商為了壓縮成本,導(dǎo)致獲取服務(wù)器數(shù)據(jù)非常簡單:

1、使用通用的云端方案,方案完全公開,易被黑客破解;

2、簡單的注冊、登錄系統(tǒng),極容易泄露用戶密碼;

3、沒有簽名機(jī)制,數(shù)據(jù)傳輸過程中可隨意篡改;

4、賬戶ID為順序分配,容易被猜中,例如A賬戶ID為100,101即為B賬戶;

5、沒有云端鑒權(quán)機(jī)制,黑客可非法訪問任意數(shù)據(jù)而不被拒絕。正是由于這些原因,黑客可輕松訪問一些智能兒童手表的服務(wù)器,以A賬戶的訪問方法,獲取B賬戶信息。

馬坤表示,如果家長確實需要購買兒童智能手表,建議認(rèn)準(zhǔn)有入網(wǎng)許可證,國家3C認(rèn)證等相關(guān)國家級證件的正規(guī)產(chǎn)品。

多知道些

兒童智能手表輻射問題引關(guān)注

除了信息安全問題,兒童智能手表的電磁輻射問題也引人關(guān)注。

2015年9月,央視《第一時間》欄目讓記者到網(wǎng)上和實體店買了3款兒童定位手表,價格分別是148元、380元、798元,然后請大連理工大學(xué)物理與廣電工程學(xué)院進(jìn)行輻射檢測,同時還準(zhǔn)備了三部手機(jī)做對比檢測。結(jié)果顯示,在待機(jī)狀態(tài)下,兒童定位手表與手機(jī)的輻射值相同,均在0.002uW/c㎡。但在撥打電話時輻射值變化巨大,其中148元的兒童定位手表在撥打電話時的輻射峰值最高達(dá)2900,是手機(jī)撥打電話時的1000倍;另外798元的兒童定位手表撥打電話時的輻射峰值達(dá)2100,名列第二;而最后一個380元的兒童定位手表,撥打電話時的峰值僅為176。說明兒童定位手表的輻射與價格關(guān)系不大。

專家表示,智能手表由于受到區(qū)域面積的限制,廠商在提高通話質(zhì)量的時候,可能會把天線或是發(fā)射頻率做的更大一些。目前市面上的手機(jī)需要經(jīng)過輻射檢測,只有對人體處于安全范圍的手機(jī)才能獲得入網(wǎng)許可證,而兒童定位手表卻沒有相應(yīng)的生產(chǎn)標(biāo)準(zhǔn)。節(jié)目提醒,發(fā)射功率較高的手表不易長期佩戴。

同樣的選題,北京衛(wèi)視也做了實驗。結(jié)果顯示,實驗樣品兒童智能手表輻射數(shù)值小于微波爐,大于電磁爐和手機(jī),是手機(jī)輻射值的1.5倍。所以特別提醒,讓孩子別把智能手表靠近頭部。此外,智能兒童手表還可能帶來其他問題,比如孩子可能把它當(dāng)玩具,從而導(dǎo)致學(xué)習(xí)分心。所以,給孩子買還是不買,最好考慮清楚。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號