儿童手表或成为泄露家长儿童隐私信息的元凶!
随着科技的发展,一些过去只能在电影中出现的画面正在逐步走进现实中。现在很多父母为了提升孩子的安全性,方便与孩子沟通,往往会购买一些儿童智能手表作为礼物送给孩子,可是你知道吗?这些看似安全的儿童手表或许会成为泄露家长儿童隐私信息的元凶。
11月26日,测试机构AV-TEST的物联网测试部门发布报告称,他们发现一款由中国公司制造生产的智能儿童手表存在严重安全隐患,其中有5000多名儿童及其父母的个人详细信息和位置信息被曝光。
研究人员称,这款SMA-WATCH-M2手表由深圳市爱保护科技有限公司(SMA)制造生产,已经问世多年。
该手表需要与配套的移动应用程序一起使用,通常情况下,父母会在SMA服务上注册一个帐户,将孩子的智能手表与手机配对,然后使用该应用程序跟踪孩子的位置,进行语音通话或在孩子离开指定区域时获得通知。
这个概念并不新鲜,目前市场上充斥着大量类似产品,其价格从30美元到200美元不等。
AV-TEST首席执行官兼技术总监Maik Morgenstern称,在接受调查的数码产品评级中,SMA是市场上最不安全的产品之一。
这款手表允许任何人通过可公开访问的Web API查询智能手表的后端,这时移动应用程序还处于连接状态以用于检索其在父母手机上显示的数据的后端。
正常情况下,这一环节应该有一个身份验证令牌,可以防止未经授权的访问。尽管攻击者可以使用随机令牌来进行撞库攻击,但这并不意味着其没有存在意义。
一旦Web API公开,攻击者可以连接到该Web API循环浏览所有用户ID,并收集所有孩子及其父母的数据。
此外,SMA-WATCH-M2手表安装在父母手机上的移动应用程序也存在安全漏洞。
Morgenstern称,攻击者可以将其安装在自己的设备上,在应用程序的主配置文件中更改用户ID,并将其智能手机与孩子的智能手表配对,而无需输入帐户的电子邮件地址或密码。
攻击者将智能手机与孩子的智能手表配对后,便可以使用该应用程序的功能通过地图跟踪孩子,甚至可以拨打电话并与孩子进行语音聊天。
更糟糕的是,攻击者可以在给孩子错误的指示时更改移动帐户的密码,将父母账号锁定在应用程序之外。
发现漏洞后,AV-TEST第一时间与SMA取得联系,但是后者并未对此做出任何回应,只是提到该手表目前仍在通过该公司的网站和其他分销商出售(德国分销商Pearl已在报告后上架了M2)。
波波观点:
网络安全无小事,一款儿童安全手表带来的安全隐患其实不容小觑。希望相关厂商能够重视起来尽快修复。