儿童电话手表存漏洞:黑客后台拨号表显示“爸爸“
工程师用手机向儿童电话手表进行拨号,儿童电话手表屏幕上清晰显示出“爸爸”的字样。
黑客只需要知道家长的手机号,就能通过这个手机号码倒推出儿童电话手表的ID号。
很多儿童电话手表只对手机端进行了身份确认。
日渐流行的儿童电话手表大多被冠以“智能”头衔,以“安全”、“便捷”作为产品的最大卖点。这两年,儿童电话手表因为有定位和通话的功能,受到广大父母的青睐。大部分家长给孩子购买儿童电话手表的初衷是为了获得一份安全感,那么这样的一块手表真的能带给孩子安全吗?
从 去年开始,多款儿童电话手表的相关漏洞,被白帽黑客陆续公布在国内安全平台乌云上,漏洞的主要根源在厂家的服务器上。这些漏洞真的存在吗?如果发现儿童电 话手表存在安全漏洞,家长们又该如何进行安全预防?3月14日上午,南都鉴定走进工业和信息化部电子第五研究所赛宝质量安全检测中心,对儿童电话手表可能 存在的安全漏洞进行实测验证。
鉴定由头
班里近半小学生都买了电话手表
当下的各款 儿童电话手表的功能不少,不仅能打电话、发微信,还有实时定位以及监听功能。使用起来也很简单,买一张电话卡放入智能手表,然后通过手机下载一个跟手表匹 配的APP之后,家长的手机和孩子的智能手表就可实现绑定。目前,这种儿童电话手表卖得挺火。广州市很多小学的班级里,几乎有一半学生都购买了不同款的 儿童电话手表。
“目前国家对于儿童电话手表等智能穿戴设备还没有统一的规范,这类产品在信息安全方面的质量参差不齐”。工业和信息化 部电子 第五研究所赛宝质量安全检测中心信息安全工程师李乐言说,从去年开始,就陆续有白帽黑客在国内安全平台乌云上,曝光了儿童安全手表的相关漏洞,漏洞的主要 根源在厂家的服务器上。“现在的儿童智能手机所有信息其实都在后台服务器上,攻击者可利用漏洞查询智能手表连接的服务器,就可以查看到客户信息,并根据相 应ID直接查看孩子的地理位置、实时监控孩子的地理坐标、日常活动轨迹及环境录音等隐私内容。”
后台服务器是漏洞根源验证码输入次数无限制
鉴 定君随即登录了这一网站,通过搜索引擎,就可以轻松搜索到不少儿童电话手表品牌存在安全漏洞的信息,其中包括任意用户密码重置、无登录防控等诸多方面。 “用户密码任意重置,就是说以忘记密码的方式,重置你的密码,这样你的用户号码完全就可以变成我的。”李乐言说,不少儿童电话手表品牌并没有对验证码的输 入次数进行限制,任何人都可以进行无限次的输入。“四位数的验证码,最多只需要电脑输入9万多次,就能试出来,一旦试出来,就可以进行密码重置了。”此 外,用户在进行登录时,后台服务器也并没有一个登录防控功能,只是单向认证。“黑客在十分钟内就能试出100多个密码来。”
“其实修 补安全漏洞的技术门槛并不高,只要有一些网络开发经验的研发人员就能做到。只要生产方重视,避免这样的安全漏洞是可以实现 的。”李乐言表示,但从目前来看,国家并没有在网络安全这块设置详细的标准要求,如果厂商仅仅重视用户体验来抢占市场、而忽略了产品的安全设计和开发,增 加的网络控制功能就可能成为恶意攻击者利用的通道,泄露个人信息在所难免。
鉴定实录
获得ID号后监听、定位、改通讯录电脑上几分钟就能搞定
时间:3月14日上午
地点:工业和信息化部电子第五研究所赛宝质量安全检测中心
样品:某知名品牌儿童电话手表
测试工具:电脑、安全漏洞代码等
目的:儿童电话手表是否存在安全漏洞
说明:工程师事先准备好了针对某款儿童电话手表所写的代码