儿童电话手表曝漏洞 易被定位监听改通讯录
黑客只需要知道家长的手机号,就能通过这个手机号码倒推出儿童电话手表的ID号。
工程师用自己的手机向这块儿童电话手表进行拨号,儿童电话手表屏幕上清晰显示出“爸爸”的字样。
日渐流行的儿童电话手表大多被冠以“智能”头衔,以“安全”、“便捷”作为产品的最大卖点。这两年,儿童电话手表因为有定位和通话的功能,受到广大父母的青睐。大部分家长给孩子购买儿童电话手表的初衷是为了获得一份安全感,那么这样的一块手表真的能带给孩子安全吗?
从去年开始,多款儿童电话手表的相关漏洞,被白帽黑客陆续公布在国内安全平台乌云上,漏洞的主要根源在厂家的服务器上。这些漏洞真的存在吗?如果发现儿童电话手表存在安全漏洞,家长们又该如何进行安全预防?3月14日上午,南都鉴定走进工业和信息化部电子第五研究所赛宝质量安全检测中心,对儿童电话手表可能存在的安全漏洞进行实测验证。
鉴定由头
班里近半小学生都买了电话手表
当下的各款儿童电话手表的功能不少,不仅能打电话、发微信,还有实时定位以及监听功能。使用起来也很简单,买一张电话卡放入智能手表,然后通过手机下载一个跟手表匹配的APP之后,家长的手机和孩子的智能手表就可实现绑定。目前,这种儿童电话手表卖得挺火。广州市很多小学的班级里,几乎有一半学生都购买了不同款的儿童电话手表。
“目前国家对于儿童电话手表等智能穿戴设备还没有统一的规范,这类产品在信息安全方面的质量参差不齐”。工业和信息化部电子第五研究所赛宝质量安全检测中心信息安全工程师李乐言说,从去年开始,就陆续有白帽黑客在国内安全平台乌云上,曝光了儿童安全手表的相关漏洞,漏洞的主要根源在厂家的服务器上。“现在的儿童智能手机所有信息其实都在后台服务器上,攻击者可利用漏洞查询智能手表连接的服务器,就可以查看到客户信息,并根据相应ID直接查看孩子的地理位置、实时监控孩子的地理坐标、日常活动轨迹及环境录音等隐私内容。”
后台服务器是漏洞根源验证码输入次数无限制
鉴定君随即登录了这一网站,通过搜索引擎,就可以轻松搜索到不少儿童电话手表品牌存在安全漏洞的信息,其中包括任意用户密码重置、无登录防控等诸多方面。“用户密码任意重置,就是说以忘记密码的方式,重置你的密码,这样你的用户号码完全就可以变成我的。”李乐言说,不少儿童电话手表品牌并没有对验证码的输入次数进行限制,任何人都可以进行无限次的输入。“四位数的验证码,最多只需要电脑输入9万多次,就能试出来,一旦试出来,就可以进行密码重置了。”此外,用户在进行登录时,后台服务器也并没有一个登录防控功能,只是单向认证。“黑客在十分钟内就能试出100多个密码来。”
“其实修补安全漏洞的技术门槛并不高,只要有一些网络开发经验的研发人员就能做到。只要生产方重视,避免这样的安全漏洞是可以实现的。”李乐言表示,但从目前来看,国家并没有在网络安全这块设置详细的标准要求,如果厂商仅仅重视用户体验来抢占市场、而忽略了产品的安全设计和开发,增加的网络控制功能就可能成为恶意攻击者利用的通道,泄露个人信息在所难免。
鉴定实录
获得ID号后监听、定位、改通讯录电脑上几分钟就能搞定
时间:3月14日上午
地点:工业和信息化部电子第五研究所赛宝质量安全检测中心
样品:某知名品牌儿童电话手表
测试工具:电脑、安全漏洞代码等
目的:儿童电话手表是否存在安全漏洞
说明:工程师事先准备好了针对某款儿童电话手表所写的代码
A
输入手表ID号经度纬度清晰定位
李乐言首先准备好了攻击代码,然后打开相应的网络攻击程序。“这些其实对于专业人员来说并不复杂,一些网站甚至都已经公布了代码。”因为现实中,家长的手机号码跟自己孩子的儿童电话手表都是绑定的。所以,黑客只需要知道家长的手机号,就能通过这个手机号码倒推出儿童电话手表的ID号。
“每个儿童电话手表的ID号都是唯一的,获得ID号码后,直接输入攻击程序,就可以攻击这个儿童电话手表了。”李乐言现场示范,他在一段攻击程序里写入了自己事先准备的一块儿童电话手表ID号,再实施攻击,很快,电脑屏幕上就出现了这块儿童电话手表所在的经度和纬度数字。将经度和纬度输入百度地图,很快就显示出了这块手表所在的精确位置,就是当天鉴定君所在的实验室,地图显示非常准确。“通过这个原理,我实际上可以选择任何一个ID号进行定位。”李乐言当即输入另外一个ID号,程序很快反映出它的经度和纬度,通过百度地图,这块儿童电话手表所在的位置在重庆市铜梁县中兴路某号。
B
手表貌似没动静监听已经在发生了
对儿童电话手表的控制,为什么这么容易实现?“主要是由于各厂商在普通手表增加联网功能后,通过后台服务器作为枢纽,将家长手机和孩子的手表联系起来。由于一些厂商对服务器重视度不够,甚至有些厂商根本不具备自己的服务器,将儿童电话手表最为关键的一块服务内容外包给其他服务商,安全性存疑。黑客将服务器作为节点进行攻击,服务器薄弱的厂商则很容易受到控制。”李乐言解释说,比如很多儿童电话手表只对手机端进行了身份确认,首次登录时都需要输入登录密码等,但没有对手表端进行身份保护,所以就存在可乘之机。
李乐言重新设置了一个攻击程序,将南都鉴定记者的手机号输入到程序中。“因为监听一般都需要在被监听者不察觉的情况下进行,所以我操作时,通过程序,控制这款智能手机进行拨出,拨打你的电话,你这边一接听,就可以听到儿童电话手表这边的一切声音。”鉴定君现场看到,被攻击的儿童电话手表一直是处于黑屏状态,没有任何迹象,可记者的手机却显示出了号码。“这个就是这块儿童电话手表打过来的。”鉴定君拿着手机走到室外接通电话,就和普通打电话一样,非常清晰地听到室内的一切声音。如果是真实生活中,小孩佩戴的这块儿童电话手表被黑客监听,那黑客随时都可以了解孩子的生活、学习情况,掌握日常规律。
C
通讯录号码在后台就可进行修改
“儿童电话手表基本都有通话功能的,里面有个通讯录,一般都保存了爸爸妈妈、爷爷奶奶等亲属的电话。可实际上,这些通讯录号码我都可以从后台上进行修改。”李乐言很快进行了第三个实验。
他首先通过后台服务器,拿到这块手表的通讯录,再通过攻击软件,对通讯录上的电话号码进行修改,然后再上传回服务器。很快,他用自己的手机向这块儿童电话手表进行拨号,儿童电话手表屏幕上就清晰显示出“爸爸”的字样。“从孩子的角度,他看到的是爸爸来的电话,但实际上,这个号码根本不是他爸爸的号码了。”不难想象,如果现实中孩子真的接到这样的电话,对电话那头的陌生人肯定无形间就会产生很大的信任感。
华为儿童电话手表不可以投屏,华为儿童手表迪士尼系列或漫威系列具有产品材质安全,低辐射,质量管控严格,服务器云端数据传输存储安全等特点,主打产品质量安全,安全使用,是让父母放心的儿童手表。
华为儿童电话手表功能介绍
非号码本上联系人无法打入电话,安全电话本,仅支持接听或拨打手表电话本号码,拒接任何陌生来电和短信干扰。为了保障小朋友的使用安全,手表添加联系人时会向家长APP侧发送新联系人的姓名和号码,家长可以选择同意或拒绝,家长拒绝添加联系人时,手表上则会删除该联系人。
喇叭和麦克位置在有限的表体空间内选取最优化的间隔,消除通话回音,失真小。避免出现双向通话时对方听不到声音,或是有破音等现象。家庭群聊,类似于家庭微信群,在主界面方便开启,随时可以给孩子留言,给予日常生活提醒。
便捷沟通,家长APP侧支持语音,文字和表情的发送,孩子在手表侧可以以语音回复。手表采用LDS天线工艺,充分利用表壳屏幕周边及侧壁的空间,尽量远离手臂皮肤。
“戴”来隐患重重的儿童智能手表可以买,但是要买功能简单的,很多智能手表确实存在一些隐患。首先,很多儿童智能手表说具有的功能太齐全了,会影响孩子的注意力。 其次,智能手表屏幕太小了,会影响孩子们的视力。 另外,智能手表泄露隐私,对孩子来说并不安全。
如今的儿童智能手表几乎成了很多孩子的标配,每个孩子手上基本上都有一个智能手表,一些孩子的智能手表看上去非常炫酷,而且功能很完善,可以说是智能手机的迷你版。对于智能手表,其实是有很多安全隐患的,我个人认为可以买,但是一定要买适合孩子的。之所以说它有隐患,主要有以下几个原因。首先,很多儿童智能手表说具有的功能太齐全了,会影响孩子的注意力。现在的智能手表是越来越炫酷了,不仅能够照相,还能够听歌,能够视频,能够进行微信聊天,甚至还能够购物,这些功能就相当于一个迷你版的智能手机,它们会信孩子的注意力,孩子在上课的时候也很难集中注意力听课。其次,智能手表屏幕太小了,会影响孩子们的视力。影响孩子的视力并不见得只是平板电脑和手机,这个小小的智能手表同样会影响孩子们的视力。孩子的眼睛长期近距离聚焦到智能手表的小屏幕上,光源也比较暗,长期如此,视力就会下降。加上现在孩子对智能手表的依赖越来越严重,对视力的影响也更加严重。
另外,智能手表泄露隐私,对孩子来说并不安全。因为智能手表其实是存在一些漏洞的,可能会导致儿童被黑客实时监控,获取他的日常行踪轨迹和环境声音。对孩子来说,就相当于自己被监视了。而且小孩子可以通过智能手表拍照和发朋友圈,那么就很容易导致隐私泄密,不安全因素就增加了。
我们在挑选智能手表的时候,尽量选择功能少一些的,家长也要监督孩子,正确使用智能手表。而且相关机构在产品质量层面,也要做出一些标准规范。以上就是我个人对于要不要买智能手表的看法。
360儿童手表作为360公司核心智能硬件产品,立足于“安全”的基础,结合人工智能、大数据和云服务的积累与应用,让每个孩子更安全。那么360儿童手表怎么样?下面小编带大家一起来了解下。
作为中国最大的互联网安全公司,“安全”早已深植于360的品牌基因,给孩子提供更安全的产品,一直都是360儿童手表的安身立命之本。360儿童手表、儿童机器人等儿童硬件作为360公司核心智能硬件产品,立足于“安全”的基础,结合人工智能、大数据和云服务的积累与应用,让每个孩子更安全!至今累计销量已经突破500万台。将安全带进500万余家庭,守护中国儿童的安全。
品质更安全
辐射安全——360儿童手表是行业里率先提出对儿童手表辐射值进行检测的公司,为保证产品的安全性,在产品上市前,360儿童手表的每款产品均会送检多家权威检测机构,检验结果均符合国家标准。
材质安全——儿童的皮肤更敏感,对材质安全性的要求更高,360儿童手表全系表带均采用绿色环保的软胶材质,通过FDA认证,更安全更可靠。
信息更安全
三重数据加密——360公司拥有国内最先进安全保障体系,将最为成熟的安全技术运用到每一块儿童手表之中。独有的服务器安全、数据传输安全以及接口安全三重数据安全加密技术,从多个层面保护儿童安全及隐私。
更“纯净”的人工智能——早在2016年5月,得益于360人工智能研究院的支持,360儿童手表就在业内首次实现了人工智能语音问答功能,孩子可以随时与手表进行对话,通过建立与卡通人物巴迪龙的对话模式,让孩子主动学会提问、爱上学习,给孩子提供了一本可互动的百科全书。此外,360儿童手表还针对问答结果还做了关键词的过滤,问答纯净度在995%以上。
使用更安全
作为行业的开拓者,360儿童手表一直秉持者为爱守护的品牌理念,在产品功能上以“安全”为核心,结合人工智能技术,不断的进行产品功能和使用创新及延伸。
安全防护功能——为守护儿童安全,360儿童手表设有白名单防骚扰、蓝牙防走散、安全区域防走丢、一键SOS等多重防护功能,是宝贝的随行小卫士。
远程智能拍照——360儿童手表拍照版,率先采用了侧置摄像头,家长可随时通过手机端APP远程拍摄照片,随时观看宝贝周围情况,配合手表的远程监听功能,即使手表不操作,家长即可轻松掌握孩子在校状况,了解宝贝的内心世界,增强与宝贝的沟通。
更多安全功能——360儿童手表部分机型还支持IPX7级防尘防水,听筒、充电口等都经过了严密的防水处理,可在1米水深内30分钟不进水,日常使用洗手玩水不用摘。
什么是中国之造?
“中国之造”是商务部外贸发展事务局为扩大中国品牌在全球市场知名度、美誉度和占有率、助力中国企业产品和服务品质创新提升、帮助中国品牌自觉承担更多企业社会责任、实现对外贸易发展转型升级目标而提出的、涵盖品牌建设、企业社会责任、文明发展成果、中国生活方式等内容的、全面覆盖“中国制造”、“中国智造”、“中国质造”内涵并可以诠释中国品牌“硬实力”和“软实力”的全新概念。以打造中国产品和服务及背后蕴含的文化理念、企业社会责任、生活方式等内容、体现民族自信、文化自信与技术自信等核心价值的精神象征符号和产品与服务独特性与品质性的识别标志。
王者之心2点击试玩
华为儿童手表3Pro的功能有通话功能、定位功能、聊天功能等等。
1、通话功能
华为儿童手表3Pro支持中国移动、中国联通以及中国电信,运营商可自由选择,并且它还支持5模15频网络制式,用户可以在200多个国家或者地区使用该款手表进行通话,且通话质量非常好。
2、定位功能
华为儿童手表3Pro支持GPS、北斗、GLONASS卫星定位、WLAN定位、基站定位、室内定位、A-GPS、加速度计、SOS拍照辅助定位。即使用户处于大型商场、医院等场所中,手表依旧可以准确的找到用户的位置,并实时地传送位置信息。
3、聊天功能
该款手表可以建立聊天群,用户可以在群聊中发送语音、表情、以及小视频,其功能与手机一样,聊天非常方便。
华为的经营范围有如下:
华为的一般经营项目有信息系统设计、集成、运行维护;集成电路设计、研发;统一通信及协作类产品,服务器及配套软硬件产品,存储设备及相关软件的研发、生产、销售;无线数据产品(不含限制项目)的生产、销售;通信站点机房基础设施及通信配套设备(含通信站点、天线、通信线缆、配电、智能管理监控、锂电及储能系统等)的研发、生产、销售。
此外,还有能源科学技术研究及能源相关产品的研发、生产、销售;大数据产品、物联网及通信相关领域产品的研发、生产、销售;汽车零部件及智能系统的研发、生产、销售及服务等等。
-华为儿童手表3Pro
0条评论