近日,多款雜牌、山寨兒童智能手表被曝存在嚴重高危漏洞,可以導致任意兒童被不法分子實時監控,包括日常行走軌跡、實時環境聲音等都將暴露在不法分子的眼皮底下。據了解,這一漏洞源自一個兒童智能手表的設計方案,包括守護星、亦青藤、智多星、優者、智力快車等幾十個品牌的智能兒童手表都存在該漏洞,根據這些品牌的兒童智能手表出貨量估算,影響兒童或在百萬左右。目前類似小米手環、360兒童衛士智能手表、AppleWatch等正規廠商出品的智能穿戴設備,都不存在這類問題。
圖1:山寨兒童智能手表曝高危漏洞或影響百萬兒童安全
根據漏洞發現者發布在烏云平臺上的描述,這個存在于許多品牌兒童智能手表中的漏洞是一個服務端的漏洞。所謂“服務端漏洞”,是指存在于這些兒童智能手表云端服務器中的漏洞,黑客利用該漏洞就可以讀取佩戴此類兒童智能手表的兒童的活動軌跡,實時環境聲音等。
圖2:漏洞影響全國各地的用戶(僅部分數據的查詢結果)
隨后,智能設備安全的NumenTeam小組也證實了此發現,他們表示,攻擊者可利用漏洞查詢智能手表連接的服務器,遍歷所有客戶信息,并根據相應ID直接查看孩子的地理位置、實時監控孩子的地理坐標、日常活動軌跡及環境錄音。
安全專家表示,這是一個較為低級的漏洞,目前類似小米手環、360兒童衛士智能手表、AppleWatch等正規廠商出品的智能穿戴設備,都不太可能存在這類問題。
而據業內人士透露,存在這一漏洞的兒童智能手表方案商為深圳三基同創科技有限公司。這家公司的兒童智能手表方案被應用在亦青藤、守護星、智多星、優者、智力快車等幾十個品牌的產品上。這些沒有自主核心設計能力的“山寨”兒童智能手表廠商通過向方案商購買方案,然后貼牌銷售,盡管利潤相當可觀,但都缺乏售后服務與后期的軟件升級和維護,因此此類手表一直存在安全隱患,該服務端漏洞何時才能徹底修復也令人擔憂。
事實上,不少家長給孩子購買兒童智能手表的出發點就是為了安全,但是,現在包括亦青藤、守護星、智多星、優者、智力快車在內的幾十個品牌的貼牌兒童智能手表自身安全性就讓人堪憂,給孩子戴上這樣的智能手表無異于綁上了一顆“智能手雷”。
兒童專家指出,如果設想一種最壞的情況,即黑客和人販聯手,前者對百萬兒童的活動軌跡進行“盯梢”,將什么時候上學、什么時候放學、什么時候獨自步行等信息反饋給人販子,人販子則從中選擇實施下手拐騙,后果則不堪設想。
鑒于目前市面上的兒童智能手表魚龍混雜,家長在選購時還應該認準大品牌,最好具有自主設計方案能力,配備良好的售后服務及軟件升級能力等,遠離貼牌和山寨兒童智能手表。
