近日,多款杂牌、山寨儿童智能手表被曝存在严重高危漏洞,可以导致任意儿童被不法分子实时监控,包括日常行走轨迹、实时环境声音等都将暴露在不法分子的眼皮底下。据了解,这一漏洞源自一个儿童智能手表的设计方案,包括守护星、亦青藤、智多星、优者、智力快车等几十个品牌的智能儿童手表都存在该漏洞,根据这些品牌的儿童智能手表出货量估算,影响儿童或在百万左右。目前类似小米手环、360儿童卫士智能手表、AppleWatch等正规厂商出品的智能穿戴设备,都不存在这类问题。
图1:山寨儿童智能手表曝高危漏洞或影响百万儿童安全
根据漏洞发现者发布在乌云平台上的描述,这个存在于许多品牌儿童智能手表中的漏洞是一个服务端的漏洞。所谓“服务端漏洞”,是指存在于这些儿童智能手表云端服务器中的漏洞,黑客利用该漏洞就可以读取佩戴此类儿童智能手表的儿童的活动轨迹,实时环境声音等。
图2:漏洞影响全国各地的用户(仅部分数据的查询结果)
随后,智能设备安全的NumenTeam小组也证实了此发现,他们表示,攻击者可利用漏洞查询智能手表连接的服务器,遍历所有客户信息,并根据相应ID直接查看孩子的地理位置、实时监控孩子的地理坐标、日常活动轨迹及环境录音。
安全专家表示,这是一个较为低级的漏洞,目前类似小米手环、360儿童卫士智能手表、AppleWatch等正规厂商出品的智能穿戴设备,都不太可能存在这类问题。
而据业内人士透露,存在这一漏洞的儿童智能手表方案商为深圳三基同创科技有限公司。这家公司的儿童智能手表方案被应用在亦青藤、守护星、智多星、优者、智力快车等几十个品牌的产品上。这些没有自主核心设计能力的“山寨”儿童智能手表厂商通过向方案商购买方案,然后贴牌销售,尽管利润相当可观,但都缺乏售后服务与后期的软件升级和维护,因此此类手表一直存在安全隐患,该服务端漏洞何时才能彻底修复也令人担忧。
事实上,不少家长给孩子购买儿童智能手表的出发点就是为了安全,但是,现在包括亦青藤、守护星、智多星、优者、智力快车在内的几十个品牌的贴牌儿童智能手表自身安全性就让人堪忧,给孩子戴上这样的智能手表无异于绑上了一颗“智能手雷”。
儿童专家指出,如果设想一种最坏的情况,即黑客和人贩联手,前者对百万儿童的活动轨迹进行“盯梢”,将什么时候上学、什么时候放学、什么时候独自步行等信息反馈给人贩子,人贩子则从中选择实施下手拐骗,后果则不堪设想。
鉴于目前市面上的儿童智能手表鱼龙混杂,家长在选购时还应该认准大品牌,最好具有自主设计方案能力,配备良好的售后服务及软件升级能力等,远离贴牌和山寨儿童智能手表。
