从“找娃”变“窥娃” 儿童手表的安全漏洞竟如此可怕!

软件先锋 2016-08-05 15:58网络整理点击: 标签:

年初的时候,央视曾对儿童手表进行了有关安全漏洞的报道,从“找娃神器”变成“窥娃鹰眼”,儿童手表一度引起了不少家长的恐慌。遗憾的是,数月之后,儿童手表的漏洞依然存在,从“找娃”变“窥娃”,这种令人揪心的问题为啥还没能得到解决?

 

3C6DB10149D6B0C11535277AE22C0E3E

门槛低的带来的隐患

儿童智能手表应该是目前门槛最低的穿戴式设备之一,仅次于运动手环。为啥?很简单啊,大家可以回想一下当年山寨手机的盛况,就知道这种核心硬件和山寨手机相似的产品有多么巨大的潜在供应商了。

从百元到千元,儿童智能手表虽然品质参差不齐,但基础功能却基本相似:定位、通话、提醒,这三个卖点是每一个儿童手表的必备。不过,咱们今天谈的不是这三项功能的实际效果差异,而是隐藏在背后的安全隐患。

漏洞源于厂家服务器

咱们先来回顾一下儿童智能手机的工作原理,手表插入SIM卡→和安装有指定APP的家长手机绑定→家长通过APP设定联系人、电子围栏、报警提示等功能→开始使用。

在使用的过程中,家长可以通过手机APP对绑定手表进行定位、通话、查询运动轨迹……但是,家长的很多指令并非直接从APP发送给手表,而是APP先将指令发送到手表厂商的服务器,再从服务器发给手表,手表将结果反馈给服务器,最后再从服务器推送给手机APP。

31300543295329143988612947263

明白了吧?在大多数情况下,服务器才是儿童手表使用过程中的核心。可惜,服务器的架设、加密鉴权、维护、安全漏洞修复等等都是需要投入大量的人力物力成本,此时你能指望将所有厂家都有能力将其搞好吗

所以,儿童智能手表的漏洞就出现在服务器这个环节。

服务器漏洞有多可怕

由于儿童智能手表的所有信息都会保存在厂商的服务器端,一旦被黑客破解,就能实现家长的所有权利:直接查看孩子的地理位置、实时监控孩子的地理坐标、日常活动轨迹及环境录音等隐私内容。

90FS6VOM1945

比如,有些儿童智能手表对绑定流程没有进行任何校验,而黑客可以从任意已知的序列号猜测其他有效的手表序列号,从而直接绑定其他儿童。

如果这个信息被黑客卖给了拐卖小孩的坏人,或是坏人本身也具备一定的黑客能力……太可怕了!

为何没人监管

央视的报道中,并没有明确曝光存在安全隐患的儿童手表品牌,原因何在?

答案很无奈,哪怕儿童智能手表厂商服务器安全系数再烂,哪怕手表的定位信息和语音信息在网络上裸奔,那又如何?反正只要手表通过3C等常规产品标准的合格认证,你又能奈我何?

没错,现在连穿戴式智能电子产品的国家标准都没有,儿童智能手表自然就谈不上什么安全标准了。没有标准,曝光则可能牵扯到于法无据的问题。

用户如何防范

说实话,咱们消费者暂时只能被动接受这个事实。唯一的解决方案就是避免购买到服务器端存在漏洞的产品。

其实说起来也很简单,那就是别图便宜,不要选择山寨和杂牌,从知名品牌的产品中加以选择。有些手表厂商虽然缺少软实力,但在服务器的选择上却会与阿里云一类的服务商合作,从而弥补自身实力不足的缺点,实现服务器的加密通信、用户鉴权、服务器抗攻击能力

总之,不贪便宜,从知名品牌中加以筛选,就能最大限度远离存在安全漏洞隐患的儿童智能手表。至于那些品牌和产品最靠谱?关注智趣狗,咱们一起期待后面的精彩内容吧!