能信安资讯: 物联网领域正在蓬勃发展,这毫无疑问,我们以此提高舒适度、便捷性和节能来简化生活,对智能产品的期待越高,对其安全的诉求也就越高。智能手表出现的初衷是为父母和**给予便利,如此忽视信息安全,智能手表也有可能变成犯罪者的帮凶。
信息泄露问题屡见不鲜,但儿童用品造成的信息泄露还是不得不让人倍感担忧。
11月26日,测试机构AV-TEST的物联网测试部门发布报告称,他们发现一款由中国公司制造生产的智能儿童手表存在严重安全隐患,其中有5000多名儿童及其父母的个人详细信息和位置信息被曝光。
据研究人员称,这款SMA-WATCH-M2手表已问世多年,由深圳市爱保护科技有限公司(SMA)制造生产。
在使用过程中,这款手表需要与之配套的移动应用程序一起使用,通常情况下,父母会在SMA服务上注册一个帐户,将**的智能手表与手机配对,然后使用该应用程序跟踪**的位置,进行语音通话或在**离开指定区域时获得通知。
但在接受调查的数码产品评级中,AV-TEST首席执行官兼技术总监Maik Morgenstern却称SMA是市场上最不安全的产品之一。
因为这款手表本身和配套的应用程序都存在严重问题:
手表问题
当移动应用程序还处于连接状态以用于检索其在父母手机上显示的数据的后端时,它仍允许任何人通过可公开访问的Web API查询智能手表的后端。
一旦Web API公开,攻击者可以连接到该Web API循环浏览所有用户ID,并收集所有**及其父母的数据。
Morgenstern称,使用这种技术,他的团队能够识别出5000多名M2智能手表佩戴者和10000多名家长账户。
移动应用程序漏洞
Morgenstern称,攻击者可以将其安装在自己的设备上,在应用程序的主配置文件中更改用户ID,并将其智能手机与**的智能手表配对,而无需输入账户的电子邮件地址或密码。
攻击者将智能手机与**的智能手表配对后,便可以使用该应用程序的功能通过地图跟踪**,甚至可以拨打电话并与**进行语音聊天。
更糟糕的是,攻击者可以在给**错误的指示时更改移动帐户的密码,将父母账号锁定在应用程序之外。
在此情况下,罪犯通过入侵该手表获取儿童信息和位置定位,借机拐骗儿童、敲诈父母完全可能实现。
使用该款手表的大多数**分布在欧洲,其中包括荷兰、波兰、土耳其、德国、西班牙和比利时等国家,此外也在中国、香港和墨西哥等地发现了启用中的智能手表。
此款手表仍然在售
此前报道中,AV-TEST在发现漏洞后第一时间与SMA取得联系,但是后者并未对此做出任何回应,只是提到该手表目前仍在通过该公司的网站和其他分销商出售(德国分销商Pearl已在报告后下架了M2)。
随后,AV-TEST还联系了英国标准协会(BSI),并希望履行其网络安全规范,对具备远程监听功能的儿童智能手表执行禁售。
家长在为**购买及使用儿童手表时应注意:
1. 购买正规品牌产品,核查产品是否出现过信息泄露等事件;
2. 定期更改登录帐号及密码,排查蓝牙连接情况;
3. 和**认真沟通,可以尝试模拟犯罪情况,做好预防措施。
与十几年前的追踪器相比,现如今的可穿戴设备有了多元化发展,更先进、更小、更轻、更强大。比如智能手表,语音助手加持,视频、电话、定位、运动情况、身体状态检测等多功能化极具吸引力。
为了在激烈的市场竞争中生存下来,这些智能设备在创新和务实中力求达到完美的平衡。
那么,安全呢?
智能手表出现的初衷是为父母和**给予便利,如此忽视信息安全,智能手表也有可能变成犯罪者的帮凶。
物联网领域正在蓬勃发展,这毫无疑问,我们以此提高舒适度、便捷性和节能来简化生活,对智能产品的期待越高,对其安全的诉求也就越高。
万物互联时代联动产业爆发,各种随身设备、物联网和云计算、云存储等技术发展,设备带来的所有轨迹都可以被记录,而数据的安全性也必须予以高度重视。
来源:freebuf.com 2020-01-16 16:54:47 by: 能信安科技nesun
请登录后发表评论
注册