您正在使用IE低版瀏覽器,為了您的雷鋒網賬號安全和更好的產品體驗,強烈建議使用更快更安全的瀏覽器
此為臨時鏈接,僅用于文章預覽,將在時失效
網絡安全 正文
發私信給靈火K
發送

0

某國產兒童手表泄露5000多兒童信息,還能假扮父母打電話

本文作者:靈火K 2019-11-27 18:47
導語:便宜沒好貨,這話還是有道理的。

語音播放文章內容

由深聲科技提供技術支持

想想看,孩子走在放學路上,這時智能手表突然傳來了急促的鈴聲。另一邊,是孩子母親的聲音,她說這會正在買菜回去的路上,讓孩子去找她匯合。

掛斷電話,孩子聽話地向約定地點走去,那里遠遠停著一輛面包車在等待,而里面坐著的,并不是孩子的母親......

技術的發展,已經讓上述情景走出電影熒幕,真實搬上了人們生活的舞臺。

11月26日,測試機構AV-TEST的物聯網測試部門發布報告稱,他們發現一款由中國公司制造生產的智能兒童手表存在嚴重安全隱患,其中有5000多名兒童及其父母的個人詳細信息和位置信息被曝光。

某國產兒童手表泄露5000多兒童信息,還能假扮父母打電話

圖片來源:zdnet

M2智能手表及漏洞分析

研究人員稱,這款SMA-WATCH-M2手表由深圳市愛保護科技有限公司(SMA)制造生產,已經問世多年。

該手表需要與配套的移動應用程序一起使用,通常情況下,父母會在SMA服務上注冊一個帳戶,將孩子的智能手表與手機配對,然后使用該應用程序跟蹤孩子的位置,進行語音通話或在孩子離開指定區域時獲得通知。

這個概念并不新鮮,目前市場上充斥著大量類似產品,其價格從30美元到200美元不等。

AV-TEST首席執行官兼技術總監Maik Morgenstern稱,在接受調查的數碼產品評級中,SMA是市場上最不安全的產品之一。

這款手表允許任何人通過可公開訪問的Web API查詢智能手表的后端,這時移動應用程序還處于連接狀態以用于檢索其在父母手機上顯示的數據的后端。

正常情況下,這一環節應該有一個身份驗證令牌,可以防止未經授權的訪問。盡管攻擊者可以使用隨機令牌來進行撞庫攻擊,但這并不意味著其沒有存在意義。

一旦Web API公開,攻擊者可以連接到該Web API循環瀏覽所有用戶ID,并收集所有孩子及其父母的數據。

Morgenstern稱,使用這種技術,他的團隊能夠識別出5000多名M2智能手表佩戴者和10000多名家長帳戶。

某國產兒童手表泄露5000多兒童信息,還能假扮父母打電話

大多數孩子分布在歐洲,其中包括荷蘭、波蘭、土耳其、德國、西班牙和比利時等國家,此外也在中國、香港和墨西哥等地發現了啟用中的智能手表。

此外,SMA-WATCH-M2手表安裝在父母手機上的移動應用程序也存在安全漏洞。

Morgenstern稱,攻擊者可以將其安裝在自己的設備上,在應用程序的主配置文件中更改用戶ID,并將其智能手機與孩子的智能手表配對,而無需輸入帳戶的電子郵件地址或密碼。

攻擊者將智能手機與孩子的智能手表配對后,便可以使用該應用程序的功能通過地圖跟蹤孩子,甚至可以撥打電話并與孩子進行語音聊天。

更糟糕的是,攻擊者可以在給孩子錯誤的指示時更改移動帳戶的密碼,將父母賬號鎖定在應用程序之外。

手表依舊在售

發現漏洞后,AV-TEST第一時間與SMA取得聯系,但是后者并未對此做出任何回應,只是提到該手表目前仍在通過該公司的網站和其他分銷商出售(德國分銷商Pearl已在報告后上架了M2)。

隨后,AV-TEST還聯系了英國標準協會(BSI),并希望履行其網絡安全規范,對具備遠程監聽功能的兒童智能手表執行禁售。

編譯來源:zdnet

雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知

分享:
相關文章

文章點評:

表情

資深編輯

我就是我,是顏色不一樣的焰火~
當月熱門文章
最新文章
請填寫申請人資料
姓名
電話
郵箱
微信號
作品鏈接
個人簡介
為了您的賬戶安全,請驗證郵箱
您的郵箱還未驗證,完成可獲20積分喲!
請驗證您的郵箱
立即驗證
完善賬號信息
您的賬號已經綁定,現在您可以設置密碼以方便用郵箱登錄
立即設置 以后再說
老重庆时时开奖号码360