亲!可穿戴智能设备真的来了,当下不断有厂商推出各种儿童智能定位手表,相比其他可穿戴设备现如今的家长们更会慷慨出手购置此类产品。近期,有媒体曝出儿童智能手表存在一些安全漏洞,让各位家长紧张不已。小编咨询了实验室的安全专家经过反复验证,下面与您聊聊这点儿事。
首先,一般儿童智能手表是需要安装SIM卡的,并将儿童手表与家长手机中的应用软件进行绑定和确认。绑定方式有:发送含有儿童手表信息的短信,扫描含有儿童手表信息的二维码,人工输入儿童手表序列号和SIM卡信息等方式。在家长的手机获得相关信息后,在儿童手表和家长手机上需要确认绑定,也就是说正常的绑定确认过程需要儿童手表、提供服务的服务器、家长的手机共同完成。我们的安全专家发现部分产品在绑定确认过程中存在漏洞,例如:有些产品仅需儿童手表序列号即可完成绑定,并不需要在手表上进行二次确认,服务绑定确认流程的不完善为不法分子提供了后门,不法分子可以通过这个漏洞用自己的手机或设备绑定某个儿童手表。
其次,目前的儿童智能手表一般采用被动定位模式向服务器传送位置信息、语音信息以及接受操作指令,这些信息按照一定的规则由服务器发送至儿童手表或家长的手机中,家长也可以通过服务器给儿童手表发送指令,以上这些信息都会存储在服务器中。我们的安全专家发现部分服务器缺乏账户权限控制管理,也就是说非家长的手机或设备也可通过伪造指令直接访问服务器,查询手表的定位信息、语音信息以及相关参数。对于这些控制不严、缺乏安全机制的服务器,存放的信息将面临着随时被泄露的风险,为不法分子所利用。
综上,个别儿童手表在设备绑定中存在安全漏洞,服务器端存在安全管理隐患。小编提醒各位亲和家长们,一定要从正规的渠道购买经过国家认证的产品,避免小朋友的信息暴露。
同时,我们也提醒各位提供服务的商家,一定要建立健全自己的安全机制,避免给不法分子可乘之机,保护使用者的个人信息安全。泰尔终端实验室作为国内最为专业的信息安全测试及研究机构,可以为相关厂家及设计机构提供完整、可靠的产品安全设计验证及安全评估方案,并能对智能硬件和可穿戴设备进行操作系统、应用软件方面的安全验证评估。如果您有任何需求可联系我们。
电话:010-62304633(2923) / QQ:2059235439 / 邮箱:service@smarterapps.cn / 合作:market@smarterapps.cn
Copyright by China Academy of Information & Communication Technology / 京ICP备09013372号-10 / 京公网安备11010802020100号
