11月26日,测试机构AV-TEST的物联网测试部门发布报告称,他们发现一款由中国公司制造消费的智能儿童手表存在严重安全隐患,其中有5000多名儿童及其父母的团体详细信息和地位信息被曝光。
想看,孩子走在放学路上,这时智能手表忽然传来了短促的铃声。另一边,是孩子母亲的声响,她说这会正在买菜回去的路上,让孩子去找她集合。
挂断电话,孩子听话地向商定地点走去,那里远远停着一辆面包车在等候,而外面坐着的,并不是孩子的母亲......
技术的开展,曾经让上述情形走出电影荧幕,真实搬上了人们生活的舞台。
11月26日,测试机构AV-TEST的物联网测试部门发布报告称,他们发现一款由中国公司制造消费的智能儿童手表存在严重安全隐患,其中有5000多名儿童及其父母的团体详细信息和地位信息被曝光。
M2智能手表及破绽剖析
研讨人员称,这款SMA-WATCH-M2手表由深圳市爱维护科技有限公司(SMA)制造消费,曾经问世多年。
该手表需求与配套的挪动应用程序一同运用,通常状况下,父母会在SMA效劳上注册一个帐户,将孩子的智能手表与手机配对,然后运用该应用程序跟踪孩子的地位,停止语音通话或在孩子分开指定区域时取得告诉。
这个概念并不新颖,目前市场上充满着少量相似产品,其价钱从30美元到200美元不等。
AV-TEST首席执行官兼技术总监Maik Morgenstern称,在承受调查的数码产品评级中,SMA是市场上最不平安的产品之一。
这款手表允许任何人经过可地下拜访的Web API查询智能手表的后端,这时挪动应用程序还处于衔接形态以用于检索其在父母手机上显示的数据的后端。
正常状况下,这一环节应该有一个身份验证令牌,可以避免未经受权的拜访。虽然攻击者可以运用随机令牌来停止撞库攻击,但这并不意味着其没有存在意义。
一旦Web API地下,攻击者可以衔接到该Web API循环阅读一切用户ID,并搜集一切孩子及其父母的数据。
Morgenstern称,运用这种技术,他的团队可以辨认出5000多名M2智能手表佩戴者和10000多名家长帐户。
大多数孩子散布在欧洲,其中包括荷兰、波兰、土耳其、德国、西班牙和比利时等国度,此外也在中国、香港和墨西哥等地发现了启用中的智能手表。
此外,SMA-WATCH-M2手表装置在父母手机上的挪动应用程序也存在安全漏洞。
Morgenstern称,攻击者可以将其装置在本人的设备上,在应用程序的主配置文件中更改用户ID,并将其智能手机与孩子的智能手表配对,而无需输出帐户的电子邮件地址或密码。
攻击者将智能手机与孩子的智能手表配对后,便可以运用该应用程序的功用经过地图跟踪孩子,甚至可以拨打电话并与孩子停止语音聊天。
更蹩脚的是,攻击者可以在给孩子错误的指示时更改挪动帐户的密码,将父母账号锁定在应用程序之外。
手表照旧在售
发现破绽后,AV-TEST第一工夫与SMA取得联系,但是后者并未对此做出任何回应,只是提到该手表目前仍在经过该公司的网站和其他分销商出售(德国分销商Pearl已在报告后上架了M2)。
随后,AV-TEST还联络了英国规范协会(BSI),并希望实行其网络安全标准,对具有近程监听功用的儿童智能手表执行禁售。
本文作者为lufei,转载请注明。