很多兒童智能手表具有電話(huà)呼叫和定位功能,目的是讓家長(zhǎng)隨時(shí)聯(lián)系到孩子,確保孩子的安全。但是,這類(lèi)手表被曝存在安全隱患,遭黑客攻擊后反而容易泄露個(gè)人信息。為“安全”而設(shè)計(jì)的手表反而具有安全隱患,黑客究竟是如何攻擊智能手表的?智能手表比手機(jī)電腦更易遭到襲擊嗎?挑選兒童智能手表時(shí)應(yīng)注意什么?
德國(guó)禁售兒童智能手表
兒童智能手表的安全問(wèn)題受到多國(guó)關(guān)注。
據(jù)報(bào)道,德國(guó)聯(lián)邦網(wǎng)絡(luò)局禁止在該國(guó)銷(xiāo)售兒童智能手表,敦促家長(zhǎng)把現(xiàn)有的兒童手表銷(xiāo)毀,并稱(chēng)其為監(jiān)聽(tīng)設(shè)備。該機(jī)構(gòu)已對(duì)多家在網(wǎng)上銷(xiāo)售此類(lèi)手表的公司采取了措施。
關(guān)于禁售的原因,報(bào)道猜測(cè)可能是因?yàn)榍址鸽[私或手表的安全漏洞問(wèn)題。
據(jù)英BBC報(bào)道,德國(guó)聯(lián)邦網(wǎng)絡(luò)局禁止在該國(guó)銷(xiāo)售兒童智能手表。
今年10月,挪威消費(fèi)者理事會(huì)在報(bào)告中指出,部分兒童手表存在漏洞,比如在沒(méi)有加密的情況下傳輸和存儲(chǔ)數(shù)據(jù)。“這意味著陌生人使用基本的黑客技術(shù),就能追蹤兒童的行動(dòng),或者讓一個(gè)孩子看起來(lái)在一個(gè)完全不同的位置。”報(bào)告稱(chēng)。
早在2015年,我國(guó)媒體曾曝光多個(gè)品牌的兒童智能手表存在嚴(yán)重安全漏洞,黑客不僅可以精準(zhǔn)掌握手表所處的位置,還能完整獲取兒童日常行走路線(xiàn),竊聽(tīng)兒童對(duì)話(huà)及周?chē)曇簟?/p>
黑客如何攻擊智能手表?
記者了解到,兒童智能手表都有相應(yīng)的手機(jī)軟件(App),用于家長(zhǎng)注冊(cè)、綁定手表,在手機(jī)App中可以設(shè)置兒童的姓名、生日等信息,也可以發(fā)送指令,比如查詢(xún)位置、通話(huà)等。
那么,黑客是如何攻擊智能手表的?
西安四葉草信息技術(shù)有限公司高級(jí)安全研究員余俊峰說(shuō),手機(jī)App中設(shè)置的信息和發(fā)送的指令會(huì)傳到智能手表云端服務(wù)器,云端服務(wù)器和手表之間也相互發(fā)送一些功能指令。
“正常情況下,用戶(hù)A只能對(duì)自己綁定的智能手表發(fā)送信息和指令,但由于智能手表云端程序沒(méi)有對(duì)用戶(hù)身份和要執(zhí)行的指令進(jìn)行權(quán)限判斷,導(dǎo)致用戶(hù)A也可以對(duì)未綁定的其他智能手表進(jìn)行操作。這就導(dǎo)致了越權(quán)漏洞。”他說(shuō)。
關(guān)于“越權(quán)漏洞”,余俊峰解釋說(shuō),比如黑客在某銀行有銀行卡,正常情況下只能從自己的銀行卡中取錢(qián),但黑客把銀行卡號(hào)修改成別人的,從別人的銀行卡上把錢(qián)取出來(lái)了,銀行沒(méi)有判斷取款人是否有權(quán)從這個(gè)銀行卡取錢(qián),這就是越權(quán)漏洞。