因一个定位追踪数据库的暴露,仅通过一部智能手机的精准定位数据,短短几分钟内,美国总统特朗普的一举一动就被完全锁定掌握。《纽约时报》在12月 20 日刊出的《如何追踪特朗普》一文,披露了这份重磅级数据库的存在,内含 1200 多万美国人、500 亿个定位信号,其中包括很多美国名人、政要的定位信息。
由此报道,位置数据的重要性可见一斑。试想一下,如果是你家孩子的实时定位信息被陌生人掌握,那该是多可怕的一件事?!
实际上,一旦带有定位追踪功能的儿童智能手表存在安全漏洞,这样的事情并不遥远。包括 Techcrunch、Pen Test Partners、Rapid7、Avast 等外媒和国外安全软件公司,近期相继曝出多家中国儿童智能手表供应商普遍存在安全防护漏洞问题,据估计,至少有 4700 万甚至更多数量的终端设备可能受此影响。
黑客基于这些安全漏洞不仅能检索或改变儿童的实时 GPS 位置,还可以给他们打电话和或悄悄监视孩子的活动范围,或者从不安全的云端捕获到基于设备的通话音频文件。
这给儿童智能产品市场敲响了一记警钟,本来想省心的你是否买到了不靠谱的儿童智能手表?
用户信息在什么环节被泄漏了?
具备定位追踪功能的儿童智能手表工作原理其实很简单,很多元器件在市面上十分常见且价格不贵。手表内的主板 SOC 模组集成了提供位置的 GPS 模块,以及向设备提供 GPRS 数据传输 + SMS 短信功能的 SIM 卡模块。
对儿童智能手表的 SIM 卡或赢咖4注册卡进行激活,绑定其他手机设备和 APP 程序后就能进行数据传输,家长在手机上打开相匹配的应用,就能实时得到孩子的位置信息。
而常见的漏洞便是出现在设备联网之后各项涉及用户数据的交互环节,比如用户注册登陆过程、与设备关联的 Web 网页和管理站点、移动赢咖4平台和云之间的通信量,以及 GPS 与云之间的 GPRS 通信量等。
安全软件公司 AVAST Software 通过检测 Shenzhen i365 Tech 产品相关的 Web 赢咖4平台发现,所有的请求都是纯文本的标准 JSONAjax(一种轻量级的数据交换格式)请求,且所有请求都是未加密和明文的,传输信息附带指定的 ID 号和默认密码 123456,更值得关注的是黑客基于这些漏洞可以向设备发出指令,除了能获得 GPS 坐标,可能还有更 “黑” 的操作:
比如可以让儿童智能手表拨打存储名单中的任意电话号码,一旦连接上,就可以监听到用户的语音数据,而用户却不知情;可以激发设备 SOS 模式,发送短信给所有号码,进而使用 SMS(短信服务)作为攻击矢量;甚至可以发送一个 URL 的更新固件允许在设备上安装新固件,植入一些木马程序。
