中新網(wǎng)北京11月24日電(邱宇) 很多兒童智能手表具有電話呼叫和定位功能,目的是讓家長(zhǎng)隨時(shí)聯(lián)系到孩子,確保孩子的安全。但是,這類手表被曝存在安全隱患,遭黑客攻擊后反而容易泄露個(gè)人信息。
為“安全”而設(shè)計(jì)的手表反而具有安全隱患,黑客究竟是如何攻擊智能手表的?智能手表比手機(jī)電腦更易遭到襲擊嗎?挑選兒童智能手表時(shí)應(yīng)注意什么?
德國(guó)禁售兒童智能手表
兒童智能手表的安全問(wèn)題受到多國(guó)關(guān)注。
據(jù)英國(guó)廣播公司(BBC)報(bào)道,德國(guó)聯(lián)邦網(wǎng)絡(luò)局禁止在該國(guó)銷售兒童智能手表,敦促家長(zhǎng)把現(xiàn)有的兒童手表銷毀,并稱其為監(jiān)聽(tīng)設(shè)備。該機(jī)構(gòu)已對(duì)多家在網(wǎng)上銷售此類手表的公司采取了措施。
關(guān)于禁售的原因,報(bào)道猜測(cè)可能是因?yàn)榍址鸽[私或手表的安全漏洞問(wèn)題。
據(jù)英BBC報(bào)道,德國(guó)聯(lián)邦網(wǎng)絡(luò)局禁止在該國(guó)銷售兒童智能手表。來(lái)源:BBC官網(wǎng)截圖。
今年10月,挪威消費(fèi)者理事會(huì)在報(bào)告中指出,部分兒童手表存在漏洞,比如在沒(méi)有加密的情況下傳輸和存儲(chǔ)數(shù)據(jù)!斑@意味著陌生人使用基本的黑客技術(shù),就能追蹤兒童的行動(dòng),或者讓一個(gè)孩子看起來(lái)在一個(gè)完全不同的位置!眻(bào)告稱。
早在2015年,我國(guó)媒體曾曝光多個(gè)品牌的兒童智能手表存在嚴(yán)重安全漏洞,黑客不僅可以精準(zhǔn)掌握手表所處的位置,還能完整獲取兒童日常行走路線,竊聽(tīng)兒童對(duì)話及周圍聲音。
黑客如何攻擊智能手表?
記者了解到,兒童智能手表都有相應(yīng)的手機(jī)軟件(App),用于家長(zhǎng)注冊(cè)、綁定手表,在手機(jī)App中可以設(shè)置兒童的姓名、生日等信息,也可以發(fā)送指令,比如查詢位置、通話等。
那么,黑客是如何攻擊智能手表的?
西安四葉草信息技術(shù)有限公司高級(jí)安全研究員余俊峰說(shuō),手機(jī)App中設(shè)置的信息和發(fā)送的指令會(huì)傳到智能手表云端服務(wù)器,云端服務(wù)器和手表之間也相互發(fā)送一些功能指令。
“正常情況下,用戶A只能對(duì)自己綁定的智能手表發(fā)送信息和指令,但由于智能手表云端程序沒(méi)有對(duì)用戶身份和要執(zhí)行的指令進(jìn)行權(quán)限判斷,導(dǎo)致用戶A也可以對(duì)未綁定的其他智能手表進(jìn)行操作。這就導(dǎo)致了越權(quán)漏洞!彼f(shuō)。
關(guān)于“越權(quán)漏洞”,余俊峰解釋說(shuō),比如黑客在某銀行有銀行卡,正常情況下只能從自己的銀行卡中取錢,但黑客把銀行卡號(hào)修改成別人的,從別人的銀行卡上把錢取出來(lái)了,銀行沒(méi)有判斷取款人是否有權(quán)從這個(gè)銀行卡取錢,這就是越權(quán)漏洞。
資料圖。隱藏在網(wǎng)絡(luò)中的黑客也有黑白之分!鞍酌薄睘榘踩夹g(shù),是網(wǎng)絡(luò)安全的建設(shè)者;“黑帽”為利益而技術(shù),是網(wǎng)絡(luò)安全的破壞者。
廠商設(shè)計(jì)不規(guī)范導(dǎo)致漏洞出現(xiàn)
不過(guò),兒童智能手表的安全問(wèn)題不能簡(jiǎn)單歸結(jié)為技術(shù)問(wèn)題。
2015年,國(guó)內(nèi)多個(gè)品牌的兒童智能手表被曝存在“越權(quán)漏洞”。談到這一問(wèn)題,360兒童手表產(chǎn)品總監(jiān)孫浩告訴中新網(wǎng)記者,這其實(shí)是比較低級(jí)的漏洞,能做到這一點(diǎn)的前提是在服務(wù)端接口設(shè)計(jì)上就不規(guī)范,使攻擊者能越過(guò)一些認(rèn)證手段,非法獲取手表的隱私信息。
“更進(jìn)一步,根本原因在于2015年兒童手表市場(chǎng)爆發(fā),很多小的廠商進(jìn)入市場(chǎng),他們沒(méi)有完善的設(shè)計(jì)研發(fā)能力,采用市面上一些公板方案,在產(chǎn)品的技術(shù)方案設(shè)計(jì)上就有問(wèn)題!睂O浩說(shuō)。
余俊峰認(rèn)為,有些廠商為了產(chǎn)品盡早上市占領(lǐng)市場(chǎng),缺乏足夠的設(shè)計(jì)、開(kāi)發(fā)、測(cè)試時(shí)間,導(dǎo)致漏洞百出;也有些廠商獲知白帽黑客提交的漏洞細(xì)節(jié)后,沒(méi)有采取任何補(bǔ)救措施,對(duì)漏洞置之不理,任由漏洞存在。
智能手表比手機(jī)電腦更易遭到襲擊嗎?
從技術(shù)上來(lái)看,兒童智能手表是否比手機(jī)、電腦更容易被黑客入侵呢?
孫浩說(shuō),其實(shí)兒童手表相對(duì)手機(jī)、電腦更安全。兒童手表功能相對(duì)單一,沒(méi)有瀏覽器、第三方應(yīng)用,也屏蔽了短信、彩信等功能,通話上有白名單機(jī)制。不會(huì)像手機(jī)和電腦那樣受到釣魚網(wǎng)站、惡意軟件、詐騙電話和短信的威脅。
“目前來(lái)看,沒(méi)有證據(jù)表明兒童智能手表更容易被黑客入侵!庇嗫》逭f(shuō),但是,部分兒童智能手表安全漏洞比較多,存在很大被攻擊的風(fēng)險(xiǎn),可能會(huì)引起惡意黑客或黑色產(chǎn)業(yè)人員的關(guān)注,從而引發(fā)攻擊事件。
360兒童手表產(chǎn)品總監(jiān)孫浩說(shuō),越權(quán)漏洞等問(wèn)題在360兒童手表等大品牌產(chǎn)品上不會(huì)出現(xiàn)。
延伸——
深圳將出臺(tái)國(guó)內(nèi)首個(gè)兒童智能手表地方標(biāo)準(zhǔn)
除了安全漏洞,一些兒童智能手表還存在定位不精準(zhǔn)、輻射較高等問(wèn)題。
據(jù)媒體報(bào)道,國(guó)內(nèi)兒童智能手表有9成以上產(chǎn)自深圳,深圳將出臺(tái)國(guó)內(nèi)首個(gè)兒童智能手表地方標(biāo)準(zhǔn)。
今年3月,深圳市消費(fèi)者委員會(huì)聯(lián)合多家單位牽頭制定《深圳市兒童智能手表技術(shù)標(biāo)準(zhǔn)文件》,隨后于今年11月舉行了意見(jiàn)征求會(huì)。標(biāo)準(zhǔn)包括材料安全、電池安全、輻射、定位測(cè)試、信號(hào)質(zhì)量、工作時(shí)間、防水測(cè)試等內(nèi)容。
挑選兒童智能手表時(shí)應(yīng)注意什么?
深圳市消費(fèi)者委員會(huì)此前發(fā)布消費(fèi)提示稱,電磁輻射值并非越低越好。只要在限值范圍內(nèi),兒童智能手表的電磁輻射不影響孩子的健康。輻射值與信號(hào)質(zhì)量相關(guān)聯(lián),減小輻射值,一定程度上減弱信號(hào)質(zhì)量,影響通話質(zhì)量,影響兒童智能手表的整體品質(zhì)。
另外,生活防水不一定真“防水”。業(yè)界對(duì)生活防水還沒(méi)有明確的定義、沒(méi)有相應(yīng)的測(cè)試方法。對(duì)于生活防水的定義和測(cè)試方法,各廠商的說(shuō)法不一。
深圳市消費(fèi)者委員會(huì)建議盡量去正規(guī)的商場(chǎng)或?qū)Yu店選購(gòu)兒童智能手表。在具體挑選產(chǎn)品時(shí),消費(fèi)者可以參閱說(shuō)明書、產(chǎn)品包裝和品牌官方網(wǎng)站宣傳產(chǎn)品參數(shù),比如,定位的精準(zhǔn)度、輻射值大小、材質(zhì)、電池的待機(jī)時(shí)間、防水性能等參數(shù)。在正規(guī)商場(chǎng)或?qū)Yu店購(gòu)買時(shí)也應(yīng)記得索取發(fā)票。