Leiphone雷锋网

文章数:10747 被阅读:33654543

账号入驻

某国产儿童手表泄露5000多儿童信息,还能假扮父母打电话

2019-11-27
    阅读数:

▲点击上方 雷锋网 关注


便宜没好货,这话还是有道理的。

 文 | 灵火K 

想想看,孩子走在放学路上,这时智能手表突然传来了急促的铃声。另一边,是孩子母亲的声音,她说这会正在买菜回去的路上,让孩子去找她汇合。

挂断电话,孩子听话地向约定地点走去,那里远远停着一辆面包车在等待,而里面坐着的,并不是孩子的母亲......

技术的发展,已经让上述情景走出电影荧幕,真实搬上了人们生活的舞台。

11月26日,测试机构AV-TEST的物联网测试部门发布报告称,他们发现一款由中国公司制造生产的智能儿童手表存在严重安全隐患,其中有5000多名儿童及其父母的个人详细信息和位置信息被曝光。

M2智能手表及漏洞分析

研究人员称,这款SMA-WATCH-M2手表由深圳市爱保护科技有限公司(SMA)制造生产,已经问世多年。

该手表需要与配套的移动应用程序一起使用,通常情况下,父母会在SMA服务上注册一个帐户,将孩子的智能手表与手机配对,然后使用该应用程序跟踪孩子的位置,进行语音通话或在孩子离开指定区域时获得通知。

这个概念并不新鲜,目前市场上充斥着大量类似产品,其价格从30美元到200美元不等。

AV-TEST首席执行官兼技术总监Maik Morgenstern称,在接受调查的数码产品评级中,SMA是市场上最不安全的产品之一。

这款手表允许任何人通过可公开访问的Web API查询智能手表的后端,这时移动应用程序还处于连接状态以用于检索其在父母手机上显示的数据的后端。

正常情况下,这一环节应该有一个身份验证令牌,可以防止未经授权的访问。尽管攻击者可以使用随机令牌来进行撞库攻击,但这并不意味着其没有存在意义。

一旦Web API公开,攻击者可以连接到该Web API循环浏览所有用户ID,并收集所有孩子及其父母的数据。

Morgenstern称,使用这种技术,他的团队能够识别出5000多名M2智能手表佩戴者和10000多名家长帐户。

大多数孩子分布在欧洲,其中包括荷兰、波兰、土耳其、德国、西班牙和比利时等国家,此外也在中国、香港和墨西哥等地发现了启用中的智能手表。

此外,SMA-WATCH-M2手表安装在父母手机上的移动应用程序也存在安全漏洞。

Morgenstern称,攻击者可以将其安装在自己的设备上,在应用程序的主配置文件中更改用户ID,并将其智能手机与孩子的智能手表配对,而无需输入帐户的电子邮件地址或密码。

攻击者将智能手机与孩子的智能手表配对后,便可以使用该应用程序的功能通过地图跟踪孩子,甚至可以拨打电话并与孩子进行语音聊天。

更糟糕的是,攻击者可以在给孩子错误的指示时更改移动帐户的密码,将父母账号锁定在应用程序之外。

手表依旧在售

发现漏洞后,AV-TEST第一时间与SMA取得联系,但是后者并未对此做出任何回应,只是提到该手表目前仍在通过该公司的网站和其他分销商出售(德国分销商Pearl已在报告后上架了M2)。

随后,AV-TEST还联系了英国标准协会(BSI),并希望履行其网络安全规范,对具备远程监听功能的儿童智能手表执行禁售。

编译来源:zdnet

往期推荐


华为与小米的 “冰与火之歌”

▎突发!YC 将从中国撤出分支,陆奇已启动第一个创业项目品牌

中国工程院院士王坚,是如何炼成的?

▎ofo退押金再出新招:先消费再返现;港交所回应:阿里不是来救市的;全球IPv4地址正式耗尽


雷锋网年度评选

寻找19大行业的最佳AI落地实践

创立于2017年的「AI最佳掘金案例年度榜单」,是业内首个人工智能商业案例评选活动。雷锋网从商用维度出发,寻找人工智能在各个行业的最佳落地实践。

第三届评选已正式启动,扫描下图底部二维码,进行报名。详情可咨询微信号:xqxq_xq

你还在看吗?

最新有关leiphone-sz的文章

About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版

站点相关: TI培训

北京市海淀区知春路23号集成电路设计园量子银座1305 电话:(010)82350740 邮编:100191

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2018 EEWORLD.com.cn, Inc. All rights reserved