兒童手錶外形可愛,一般具有GPS和LBS雙模式定位功能,孩子戴在手上,無論走到哪兒,家長都可以通過手機客戶端查看孩子的活動範圍,了解孩子一天的運動足跡。緊急情況下,孩子還可以一鍵求救,將信息發送到家長手機上。
兒童智能手錶受追捧 通話和定位是賣點
一款既能實現和孩子雙方通話,又能進行定位、發出求救信號的手錶在很大程度上滿足了家長對孩子多方面的監管需求。在某電商網站輸入「兒童智能手錶」,可以搜索到7.9萬件相關商品。用銷售量進行排序,排名第一的商家的月銷售量高達2.6萬隻。我們還發現,用戶對於手錶的通話、定位等功能都給予了很高的評價。
在採訪中,有家長表示很喜歡兒童智能手錶的定位功能,「等孩子大一點,我就不用接她上下學了。有了智能手錶她幾點回家,我就很清楚了。」也有家長表示想給孩子買智能手錶是出於安全的考慮,「呼叫孩子比較方便,主要是安全。」
多款兒童智能手錶存嚴重漏洞
那麼,這款手錶真的像大家說的那樣安全嗎?
11月17日,國內網絡安全反饋機構「烏雲漏洞報告平臺」對外公布報告指出,「某寶銷售前32位智能手錶有13款手錶存在安全漏洞,可導致兒童被黑客實時監控,獲取兒童的日常行走軌跡,實時環境聲音」。
某智能設備安全技術公司負責人喻峰演示了黑客是如何入侵一款兒童智能手錶的。
首先將一個手機和一款兒童智能手錶進行綁定,而後嘗試從電腦上入侵綁定的手錶。
定位孩子所在位置
他在一個用於演示的黑客程序中輸入家長的手機號,程序就開始破解手錶信息,黑客程序很快破解手錶的安全防線,成功入侵,在電腦上就可以看到這塊手錶的經緯度坐標,根據座標就可以在地圖上定位到孩子所在的位置。
完整獲取兒童日常行走路線
利用該漏洞,黑客不僅可以精準掌握手錶所處的位置,還可以通過漏洞實時追蹤該智能手錶的行走路線,在地圖上繪製出測試人員完整的行走軌跡,這樣就能完整獲取小朋友日常的行走路線。
這就意味著,原本只被家長掌握的定位信息,因為安全漏洞的存在而有可能被不法分子獲取。
竊聽兒童對話及周圍聲音
除此之外,黑客還可以監控兒童所處的環境,竊聽小朋友的對話及周圍的聲音。
喻峰在測試用的黑客程序裡輸入一個電話號碼,並通過已經侵入的安全漏洞發出監聽指令。不一會兒,被侵入的兒童智能手錶就開始向之前輸入的手機號碼拔號,接通電話後,能清楚地聽到小朋友周圍的聲音,根據位置和環境聲音,能判斷這位小朋友位於廣州,應該正在上課。
只要手錶處於正常使用狀態,黑客就可以在家長和孩子完全不知情的情況下進行竊聽和監控,也就相當於在家裡放了一個定位竊聽器。
提取手錶中手機號碼等敏感信息
不僅如此,黑客入侵兒童智能手錶之後,還可以提取手錶中的敏感信息,比如父母的手機號碼。
業內專家李崇欣介紹,黑客要獲取孩子的信息,第一個就是通過安全漏洞進行越權,這樣使他能夠查看手錶的信息。第二個就是手錶的數據沒有加密,在傳輸的過程中竊取數據,也可以看到小孩的位置,截獲信息。
硬體問題待解決,安全標準待出臺
這樣一個高危漏洞的存在,手錶的生產廠家是否知道?他們又是怎麼處理的呢?
烏雲漏洞報告顯示,他們發現了13款存在接口越權漏洞的兒童智能手錶。其中多款手錶使用的是一家公司的產品設計方案。
該公司銷售人員介紹,現在市面上80%的產品用的都是他們的方案,對於上述的安全漏洞,他稱「只是軟體中的小BUG而已,很正常」。
安全測試人員介紹,該公司目前已經修復了此次發現的漏洞。但是,市場上還有不少其它類似的廠家存在同樣的問題,亟待解決。
業內專家楊卿表示,現在很多廠商用的是通用方案,沒有投入太多研發成本,只是做一些簡單的修改,然後貼上logo,這樣就變成自已的產品上市了。一旦產品的設計方案有問題,那麼它涉及的所有產品都會出現同樣的問題。
記者了解到,目前國家對於兒童安全手錶等智能穿戴設備還沒有統一的規範,這類產品在信息安全方面的質量參差不齊,打著「安全」旗號的手錶可能反而讓兒童更不安全。
專家呼籲,希望國家儘快出臺相關的安全標準,保證這些智能兒童手錶上市的時候,通過信息安全的相關測試。