很多兒童智能手表具有電話呼叫和定位功能,目的是讓家長隨時聯系到孩子,確保孩子的安全。但是,這類手表被曝存在安全隱患,遭黑客攻擊后反而容易泄露個人信息。為“安全”而設計的手表反而具有安全隱患,黑客究竟是如何攻擊智能手表的?智能手表比手機電腦更易遭到襲擊嗎?挑選兒童智能手表時應注意什么?
德國禁售兒童智能手表
兒童智能手表的安全問題受到多國關注。
據報道,德國聯邦網絡局禁止在該國銷售兒童智能手表,敦促家長把現有的兒童手表銷毀,并稱其為監聽設備。該機構已對多家在網上銷售此類手表的公司采取了措施。
關于禁售的原因,報道猜測可能是因為侵犯隱私或手表的安全漏洞問題。
據英BBC報道,德國聯邦網絡局禁止在該國銷售兒童智能手表。
今年10月,挪威消費者理事會在報告中指出,部分兒童手表存在漏洞,比如在沒有加密的情況下傳輸和存儲數據。“這意味著陌生人使用基本的黑客技術,就能追蹤兒童的行動,或者讓一個孩子看起來在一個完全不同的位置。”報告稱。
早在2015年,我國媒體曾曝光多個品牌的兒童智能手表存在嚴重安全漏洞,黑客不僅可以精準掌握手表所處的位置,還能完整獲取兒童日常行走路線,竊聽兒童對話及周圍聲音。
黑客如何攻擊智能手表?
記者了解到,兒童智能手表都有相應的手機軟件(App),用于家長注冊、綁定手表,在手機App中可以設置兒童的姓名、生日等信息,也可以發送指令,比如查詢位置、通話等。
那么,黑客是如何攻擊智能手表的?
西安四葉草信息技術有限公司高級安全研究員余俊峰說,手機App中設置的信息和發送的指令會傳到智能手表云端服務器,云端服務器和手表之間也相互發送一些功能指令。
“正常情況下,用戶A只能對自己綁定的智能手表發送信息和指令,但由于智能手表云端程序沒有對用戶身份和要執行的指令進行權限判斷,導致用戶A也可以對未綁定的其他智能手表進行操作。這就導致了越權漏洞。”他說。
關于“越權漏洞”,余俊峰解釋說,比如黑客在某銀行有銀行卡,正常情況下只能從自己的銀行卡中取錢,但黑客把銀行卡號修改成別人的,從別人的銀行卡上把錢取出來了,銀行沒有判斷取款人是否有權從這個銀行卡取錢,這就是越權漏洞。