華文網

全體家長!這個東西有巨大安全性漏洞,你的孩子卻還戴在身上!

很多兒童智慧手錶具有電話呼叫和定位功能,目的是讓家長隨時聯繫到孩子,確保孩子的安全。但是,這類手錶被曝存在安全隱患,遭駭客攻擊後反而容易洩露個人資訊。

為“安全”而設計的手錶反而具有安全隱患,

駭客究竟是如何攻擊智慧手錶的?智慧手錶比手機電腦更易遭到襲擊嗎?挑選兒童智慧手錶時應注意什麼?

德國禁售兒童智慧手錶

兒童智慧手錶的安全問題受到多國關注。

據英國廣播公司(BBC)報導,德國聯邦網路局禁止在該國銷售兒童智慧手錶,敦促家長把現有的兒童手錶銷毀,並稱其為監聽設備。該機構已對多家在網上銷售此類手錶的公司採取了措施。

關於禁售的原因,報導猜測可能是因為侵犯隱私或手錶的安全性漏洞問題。

今年10月,挪威消費者理事會在報告中指出,部分兒童手錶存在漏洞,比如在沒有加密的情況下傳輸和存儲資料。“這意味著陌生人使用基本的駭客技術,

就能追蹤兒童的行動,或者讓一個孩子看起來在一個完全不同的位置。”報告稱。

早在2015年,我國媒體曾曝光多個品牌的兒童智慧手錶存在嚴重安全性漏洞,駭客不僅可以精准掌握手錶所處的位置,還能完整獲取兒童日常行走路線,竊聽兒童對話及周圍聲音。

駭客如何攻擊智能手錶?

記者瞭解到,兒童智慧手錶都有相應的手機軟體(App),用於家長註冊、綁定手錶,在手機App中可以設置兒童的姓名、生日等資訊,

也可以發送指令,比如查詢位置、通話等。

那麼,駭客是如何攻擊智慧手錶的?

西安四葉草資訊技術有限公司高級安全研究員余俊峰說,手機App中設置的資訊和發送的指令會傳到智慧手錶雲端伺服器,雲端伺服器和手錶之間也相互發送一些功能指令。

“正常情況下,使用者A只能對自己綁定的智慧手錶發送資訊和指令,但由於智慧手錶雲端程式沒有對使用者身份和要執行的指令進行許可權判斷,

導致用戶A也可以對未綁定的其他智慧手錶進行操作。這就導致了越權漏洞。”他說。

關於“越權漏洞”,餘俊峰解釋說,比如駭客在某銀行有銀行卡,正常情況下只能從自己的銀行卡中取錢,但駭客把銀行卡號修改成別人的,從別人的銀行卡上把錢取出來了,銀行沒有判斷取款人是否有權從這個銀行卡取錢,

這就是越權漏洞。

資料圖。隱藏在網路中的駭客也有黑白之分。“白帽”為安全而技術,是網路安全的建設者;“黑帽”為利益而技術,是網路安全的破壞者。

廠商設計不規範導致漏洞出現

不過,兒童智慧手錶的安全問題不能簡單歸結為技術問題。

2015年,國內多個品牌的兒童智慧手錶被曝存在“越權漏洞”。談到這一問題,360兒童手錶產品總監孫浩告訴中新網記者,這其實是比較低級的漏洞,能做到這一點的前提是在服務端介面設計上就不規範,使攻擊者能越過一些認證手段,非法獲取手錶的隱私資訊。

“更進一步,根本原因在於2015年兒童手錶市場爆發,很多小的廠商進入市場,他們沒有完善的設計研發能力,採用市面上一些公板方案,在產品的技術方案設計上就有問題。”孫浩說。

餘俊峰認為,有些廠商為了產品儘早上市佔領市場,缺乏足夠的設計、開發、測試時間,導致漏洞百出;也有些廠商獲知白帽駭客提交的漏洞細節後,沒有採取任何補救措施,對漏洞置之不理,任由漏洞存在。

智慧手錶比手機電腦更易遭到襲擊嗎?

從技術上來看,兒童智慧手錶是否比手機、電腦更容易被駭客入侵呢?

孫浩說,其實兒童手錶相對手機、電腦更安全。兒童手錶功能相對單一,沒有流覽器、協力廠商應用,也遮罩了短信、彩信等功能,通話上有白名單機制。不會像手機和電腦那樣受到釣魚網站、惡意軟體、詐騙電話和短信的威脅。

“目前來看,沒有證據表明兒童智慧手錶更容易被駭客入侵。”餘俊峰說,但是,部分兒童智慧手錶安全性漏洞比較多,存在很大被攻擊的風險,可能會引起惡意駭客或黑色產業人員的關注,從而引發攻擊事件。

360兒童手錶產品總監孫浩說,越權漏洞等問題在360兒童手錶等大品牌產品上不會出現。

延伸——

深圳將出臺國內首個兒童智慧手錶地方標準

除了安全性漏洞,一些兒童智慧手錶還存在定位不精准、輻射較高等問題。

據媒體報導,國內兒童智慧手錶有9成以上產自深圳,深圳將出臺國內首個兒童智慧手錶地方標準。

今年3月,深圳市消費者委員會聯合多家單位牽頭制定《深圳市兒童智慧手錶技術標準檔》,隨後於今年11月舉行了意見徵求會。標準包括材料安全、電池安全、輻射、定位測試、信號品質、工作時間、防水測試等內容。

挑選兒童智慧手錶時應注意什麼?

深圳市消費者委員會此前發佈消費提示稱,電磁輻射值並非越低越好。只要在限值範圍內,兒童智慧手錶的電磁輻射不影響孩子的健康。輻射值與信號品質相關聯,減小輻射值,一定程度上減弱信號品質,影響通話品質,影響兒童智慧手錶的整體品質。

另外,生活防水不一定真“防水”。業界對生活防水還沒有明確的定義、沒有相應的測試方法。對於生活防水的定義和測試方法,各廠商的說法不一。

談到這一問題,360兒童手錶產品總監孫浩告訴中新網記者,這其實是比較低級的漏洞,能做到這一點的前提是在服務端介面設計上就不規範,使攻擊者能越過一些認證手段,非法獲取手錶的隱私資訊。

“更進一步,根本原因在於2015年兒童手錶市場爆發,很多小的廠商進入市場,他們沒有完善的設計研發能力,採用市面上一些公板方案,在產品的技術方案設計上就有問題。”孫浩說。

餘俊峰認為,有些廠商為了產品儘早上市佔領市場,缺乏足夠的設計、開發、測試時間,導致漏洞百出;也有些廠商獲知白帽駭客提交的漏洞細節後,沒有採取任何補救措施,對漏洞置之不理,任由漏洞存在。

智慧手錶比手機電腦更易遭到襲擊嗎?

從技術上來看,兒童智慧手錶是否比手機、電腦更容易被駭客入侵呢?

孫浩說,其實兒童手錶相對手機、電腦更安全。兒童手錶功能相對單一,沒有流覽器、協力廠商應用,也遮罩了短信、彩信等功能,通話上有白名單機制。不會像手機和電腦那樣受到釣魚網站、惡意軟體、詐騙電話和短信的威脅。

“目前來看,沒有證據表明兒童智慧手錶更容易被駭客入侵。”餘俊峰說,但是,部分兒童智慧手錶安全性漏洞比較多,存在很大被攻擊的風險,可能會引起惡意駭客或黑色產業人員的關注,從而引發攻擊事件。

360兒童手錶產品總監孫浩說,越權漏洞等問題在360兒童手錶等大品牌產品上不會出現。

延伸——

深圳將出臺國內首個兒童智慧手錶地方標準

除了安全性漏洞,一些兒童智慧手錶還存在定位不精准、輻射較高等問題。

據媒體報導,國內兒童智慧手錶有9成以上產自深圳,深圳將出臺國內首個兒童智慧手錶地方標準。

今年3月,深圳市消費者委員會聯合多家單位牽頭制定《深圳市兒童智慧手錶技術標準檔》,隨後於今年11月舉行了意見徵求會。標準包括材料安全、電池安全、輻射、定位測試、信號品質、工作時間、防水測試等內容。

挑選兒童智慧手錶時應注意什麼?

深圳市消費者委員會此前發佈消費提示稱,電磁輻射值並非越低越好。只要在限值範圍內,兒童智慧手錶的電磁輻射不影響孩子的健康。輻射值與信號品質相關聯,減小輻射值,一定程度上減弱信號品質,影響通話品質,影響兒童智慧手錶的整體品質。

另外,生活防水不一定真“防水”。業界對生活防水還沒有明確的定義、沒有相應的測試方法。對於生活防水的定義和測試方法,各廠商的說法不一。