儿童手表泄露5000多儿童信息 还能假扮父母打电话 安全响应中心

admin 10月前 149

技术的发展,已经让上述情景走出电影荧幕,真实搬上了人们生活的舞台。近日,测试机构AV-TEST的物联网测试部门发布报告称,他们发现一款智能儿童手表存在严重安全隐患,其中有5000多名儿童及其父母的个人详细信息和位置信息被曝光

       研究人员称,这款SMA-WATCH-M2手表由深圳市爱保护科技有限公司(SMA)制造生产,已经问世多年。

       该手表需要与配套的移动应用程序一起使用,通常情况下,父母会在SMA服务上注册一个帐户,将孩子的智能手表与手机配对,然后使用该应用程序跟踪孩子的位置,进行语音通话或在孩子离开指定区域时获得通知。

       AV-TEST首席执行官兼技术总监Maik Morgenstern称,在接受调查的数码产品评级中,SMA是市场上最不安全的产品之一。

       这款手表允许任何人通过可公开访问的Web API查询智能手表的后端,这时移动应用程序还处于连接状态以用于检索其在父母手机上显示的数据的后端。

       正常情况下,这一环节应该有一个身份验证令牌,可以防止未经授权的访问。尽管攻击者可以使用随机令牌来进行撞库攻击,但这并不意味着其没有存在意义。

       一旦Web API公开,攻击者可以连接到该Web API循环浏览所有用户ID,并收集所有孩子及其父母的数据。

       Morgenstern称,使用这种技术,他的团队能够识别出5000多名M2智能手表佩戴者和10000多名家长帐户。

       大多数孩子分布在欧洲,其中包括荷兰、波兰、土耳其、德国、西班牙和比利时等国家,此外也在中国、香港和墨西哥等地发现了启用中的智能手表。

       此外,SMA-WATCH-M2手表安装在父母手机上的移动应用程序也存在安全漏洞。

       Morgenstern称,攻击者可以将其安装在自己的设备上,在应用程序的主配置文件中更改用户ID,并将其智能手机与孩子的智能手表配对,而无需输入帐户的电子邮件地址或密码。

       攻击者将智能手机与孩子的智能手表配对后,便可以使用该应用程序的功能通过地图跟踪孩子,甚至可以拨打电话并与孩子进行语音聊天。

       更糟糕的是,攻击者可以在给孩子错误的指示时更改移动帐户的密码,将父母账号锁定在应用程序之外。

       发现漏洞后,AV-TEST第一时间与SMA取得联系,但是后者并未对此做出任何回应,只是提到该手表目前仍在通过该公司的网站和其他分销商出售(德国分销商Pearl已在报告后上架了M2)。

       随后,AV-TEST还联系了英国标准协会(BSI),并希望履行其网络安全规范,对具备远程监听功能的儿童智能手表执行禁售。


少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者admin少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者admin少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:.Gov 域名的注册审核不严 或导致信任危机
下一篇:新bug会让Windows 10检测不到连接Thunderbolt扩展坞的外部设备
Whatever is worth doing is worth doing well. juvenile hacker league
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回