儿童智能手表爆高危漏洞 黑客能轻易追踪孩子

由此报道，位置数据的重要性可见一斑。试想一下，假如是你家孩子的及时定位信息被生疏人把握，那该是多可骇的一件事？！

现实上，一旦带有定位追踪成果的儿童智妙手表存在安详裂痕，这样的工作并不迢遥。包罗 Techcrunch、Pen Test Partners、Rapid7、Avast 等外媒和海外安详软件公司，近期相继曝出多家中国儿童智妙手表供给商广泛存在安详防护裂痕题目，据预计，至少有 4700 万乃至更大都量的终端装备也许受此影响。

图 | 儿童智妙手表（来历：Rapid7）

黑客基于这些安详裂痕不只能检索或改变儿童的及时 GPS 位置，还可以给他们打电话和或暗暗监督孩子的勾当范畴，可能从不安详的云端捕捉到基于装备的通话音频文件。

这给儿童智能产物市场敲响了一记警钟，原来想省心的你是否买到了不靠谱的儿童智妙手表？

用户信息在什么环节被走漏了？

具备定位追踪成果的儿童智妙手表事变道理着实很简朴，许多元器件在市面上异常常见且价值不贵。手表内的主板 SOC 模组集成了提供位置的 GPS 模块，以及向装备提供 GPRS 数据传输 + SMS 短信成果的 SIM 卡模块。

对儿童智妙手表的 SIM 卡或物联网卡举办激活，绑定其他手机装备和 APP 措施后就能举办数据传输，家长在手机上打开相匹配的应用，就能及时获得孩子的位置信息。

图 | 定位根基道理（来历 Avast）

而常见的裂痕即是呈此刻装备联网之后各项涉及用户数据的交互环节，好比用户注册登岸进程、与装备关联的 Web 网页和打点站点、移动应用措施和云之间的通讯量，以及 GPS 与云之间的 GPRS 通讯量等。

图 | 智妙手表 GPS 跟踪器的典范数据传输布局（来历 Avast）

安详软件公司 AVAST Software 通过检测 Shenzhen i365 Tech 产物相干的 Web 应用措施发明，全部的哀求都是纯文本的尺度 JSONAjax（一种轻量级的数据互换名目）哀求，且全部哀求都是未加密和明文的，传输信息附带指定的 ID 号和默认暗码 123456，更值得存眷的是黑客基于这些裂痕可以向装备发出指令，除了能得到 GPS 坐标，也许尚有更 “黑” 的操纵：

图 | Web 应用措施 Ajax 哀求（来历 Avast）

好比可以让儿童智妙手表拨打存储名单中的恣意电话号码，一旦毗连上，就可以监听到用户的语音数据，而用户却不知情；可以引发装备 SOS 模式，发送短信给全部号码，进而行使 SMS（短信处事）作为进攻矢量；乃至可以发送一个 URL 的更新固件应承在装备上安装新固件，植入一些木马措施。

图 | 登岸包和指令哀求传输进程中的种种数据信息，涉及 ID、暗码等用户敏感信息已打码（来历 Avast）

操作这些裂痕，黑客可以垂手可得地动员“MITM 进攻”（中间人进攻，一种间接的入侵进攻方法），通过把黑客节制的一台计较机假造安排在收集毗连中的两台通讯计较机之间，结实用于往返发送数据的不安详协议，黑客可以行使尺度 IP 器材进攻捕捉全部用户数据。

图 | 黑客进攻的方法（来历 Avast）

有效户奚落，对付这些劣质的儿童智妙手表，定位不精准或者成了最大利益，最最少被黑客截守信息后，也不能精确找到孩子的位置和行踪。

三家被点名的中国公司

被外媒和安详公司披露存在安详裂痕的三家公司别离为 Thinkrace、Shenzhen i365 Tech、3G ELECTRONICS，经查证工商资料，三家都是深圳地域的科技电子企业。

Thinkrace 是深圳市尚锐科技有限公司，3G ELECTRONICS 是深圳市三基同创电子有限公司，而 Shenzhen i365 Tech 从其官网展示信息线索看，关联的公司主体或为深圳市叁创新科技有限公司和深圳市叁陆伍物联科技有限公司。

三家公司旗下都有一块相似的营业板块，即出产贩卖 GPS 跟踪器和智能穿着，包罗相干的软硬件开拓办理方案，提供 OEM/ODM 处事，基于现成的产物技能方案，第三方策划者可以等闲地贴牌举办转卖贩卖，许多客户都在外洋，包罗北美和欧洲很多国度地域。

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!