近两年,不少家长给孩子购买了儿童智能手表。智能手表不仅可以打电话、实时定位,有的还可以帮助孩子及时求救;家长甚至可以在不打扰孩子的情况下实现实时监听。大部分家长给孩子购买儿童智能手表的初衷是为了获得一份安全感,这种看似“一切尽在掌握”的安全感真的靠谱吗?华商报本期《好奇心》对此进行了验证。
实验时间:2016年3月23日
实验地点:西安四叶草信息技术有限公司CloverSec实验室
实验人员:安全研究员袁伟
实验顾问:网络安全专家、西安四叶草信息技术有限公司CEO马坤
新闻背景
《焦点访谈》曝光
儿童智能手表存安全漏洞
2月23日,央视《焦点访谈》栏目邀请国内一家网络安全反馈机构对儿童智能手表安全问题进行验证。结果证明,“部分儿童智能手表存在安全漏洞,可导致儿童被黑客实时监控,获取儿童的日常行走轨迹,以及实时环境声音”。
技术人员介绍,只要手表处于正常使用状态,黑客就可以在家长和孩子完全不知情的情况下进行窃听和监控,也就相当于在家里放了一个“定位窃听器”。
据媒体报道,成都一些学校已经不允许学生在学校使用儿童智能手表,而西安部分学校老师也不让孩子戴这样的手表。
实验验证
利用网络技术
外人也可绑定孩子智能手表
CloverSec实验室安全研究员袁伟最近发现了一个问题:国内一家著名漏洞报告平台2015年9月已报告了某品牌智能儿童手表的安全漏洞问题,由于该品牌儿童智能手表后台没有对访问者进行严格审查,可能会被人越权操作。但厂商对此漏洞一直没有及时弥补。这究竟会造成怎样的情形?袁伟向华商报记者做了实验演示。
他准备了一块该品牌儿童智能手表,在两部手机上分别下载了有关APP。按照正常使用程序,他先用其中一部手机号码在APP上进行注册,然后扫描二维码和其手表绑定,并按照一般家庭的情形对手表进行了设置。接下来,袁伟用第二部手机号码通过APP申请注册后,未通过正常绑定程序,而是利用技术手段将第二部手机注册账号与第一块手表“绑定”了!
如此一来,通过第二部手机的相关APP,也可以看到儿童智能手表的所有信息。这些信息包括“孩子”的实时位置、历史位置轨迹回放,生日、性别、身高、体重、年级等个人信息,以及家庭成员的手机号等信息。
此外,利用APP的相关功能还可以和孩子语音聊天,给孩子拨打电话。进入管理界面,还可以对手表进行设置。袁伟说,通过技术手段,甚至可以断开家长手机和孩子智能手表的联系。
袁伟介绍,这些漏洞隐患非常严重,通过网络技术,黑客甚至可以“绑定”外地某部正在使用的该品牌儿童智能手表,并获取使用者的地理位置及身份信息。
