首頁>社情·民意>你言我語 你言我語
原標題:“黑客”后臺撥號 兒童電話手表顯示“爸爸”
工程師用手機向兒童電話手表進行撥號,兒童電話手表屏幕上清晰顯示出“爸爸”的字樣。
黑客只需要知道家長的手機號,就能通過這個手機號碼倒推出兒童電話手表的ID號。
很多兒童電話手表只對手機端進行了身份確認。
日漸流行的兒童電話手表大多被冠以“智能”頭銜,以“安全”、“便捷”作為產品的最大賣點。這兩年,兒童電話手表因為有定位和通話的功能,受到廣大父母的青睞。大部分家長給孩子購買兒童電話手表的初衷是為了獲得一份安全感,那么這樣的一塊手表真的能帶給孩子安全嗎?
從去年開始,多款兒童電話手表的相關漏洞,被白帽黑客陸續公布在國內安全平臺烏云上,漏洞的主要根源在廠家的服務器上。這些漏洞真的存在嗎?如果發現兒童電話手表存在安全漏洞,家長們又該如何進行安全預防?3月14日上午,南都鑒定走進工業和信息化部電子第五研究所賽寶質量安全檢測中心,對兒童電話手表可能存在的安全漏洞進行實測驗證。
鑒定由頭
班里近半小學生都買了電話手表
當下的各款兒童電話手表的功能不少,不僅能打電話、發微信,還有實時定位以及監聽功能。使用起來也很簡單,買一張電話卡放入智能手表,然后通過手機下載一個跟手表匹配的A PP之后,家長的手機和孩子的智能手表就可實現綁定。目前,這種兒童電話手表賣得挺火。廣州市很多小學的班級里,幾乎有一半學生都購買了不同款的兒童電話手表。
“目前國家對于兒童電話手表等智能穿戴設備還沒有統一的規范,這類產品在信息安全方面的質量參差不齊”。工業和信息化部電子第五研究所賽寶質量安全檢測中心信息安全工程師李樂言說,從去年開始,就陸續有白帽黑客在國內安全平臺烏云上,曝光了兒童安全手表的相關漏洞,漏洞的主要根源在廠家的服務器上。“現在的兒童智能手機所有信息其實都在后臺服務器上,攻擊者可利用漏洞查詢智能手表連接的服務器,就可以查看到客戶信息,并根據相應ID直接查看孩子的地理位置、實時監控孩子的地理坐標、日常活動軌跡及環境錄音等隱私內容。”
后臺服務器是漏洞根源驗證碼輸入次數無限制
鑒定君隨即登錄了這一網站,通過搜索引擎,就可以輕松搜索到不少兒童電話手表品牌存在安全漏洞的信息,其中包括任意用戶密碼重置、無登錄防控等諸多方面。“用戶密碼任意重置,就是說以忘記密碼的方式,重置你的密碼,這樣你的用戶號碼完全就可以變成我的。”李樂言說,不少兒童電話手表品牌并沒有對驗證碼的輸入次數進行限制,任何人都可以進行無限次的輸入。“四位數的驗證碼,最多只需要電腦輸入9萬多次,就能試出來,一旦試出來,就可以進行密碼重置了。”此外,用戶在進行登錄時,后臺服務器也并沒有一個登錄防控功能,只是單向認證。“黑客在十分鐘內就能試出100多個密碼來。”
“其實修補安全漏洞的技術門檻并不高,只要有一些網絡開發經驗的研發人員就能做到。只要生產方重視,避免這樣的安全漏洞是可以實現的。”李樂言表示,但從目前來看,國家并沒有在網絡安全這塊設置詳細的標準要求,如果廠商僅僅重視用戶體驗來搶占市場、而忽略了產品的安全設計和開發,增加的網絡控制功能就可能成為惡意攻擊者利用的通道,泄露個人信息在所難免。
編輯:王瀝慷