首页 > 资讯 > 安全资讯 >

儿童电话手表存漏洞 黑客可后台拨号冒充家人

2016-04-28

日渐流行的儿童电话手表大多被冠以“智能”头衔,以“安全”“便捷”作为产品的最大卖点。大部分家长给孩子购买儿童电话手表的初衷是为了获得一份安全感,那么这样的一块手表真的能带给孩子安全吗?

日渐流行的儿童电话手表大多被冠以“智能”头衔,以“安全”“便捷”作为产品的最大卖点。大部分家长给孩子购买儿童电话手表的初衷是为了获得一份安全感,那么这样的一块手表真的能带给孩子安全吗?

班里近半小学生买了儿童电话手表

当下的各款儿童电话手表的功能不少,不仅能打电话、发微信,还有实时定位以及监听功能。使用起来也很简单,买一张电话卡放入儿童电话手表里,然后通过手机下载一个跟手表匹配的APP之后,家长的手机和孩子的儿童电话手表就可实现绑定。目前,这种儿童电话手表卖得挺火。广州市很多小学的班级里,几乎有一半学生都购买了不同款的儿童电话手表。

“目前国家对于儿童电话手表等智能穿戴设备还没有统一的规范,这类产品在信息安全方面的质量参差不齐。”工业和信息化部电子第五研究所赛宝质量安全检测中心信息安全工程师李乐言说,从去年开始,就陆续有白帽黑客在国内安全平台乌云上曝光儿童电话手表的相关漏洞,漏洞的根源在厂家的服务器上。“现在的儿童电话手表的所有信息其实都在后台服务器上,攻击者利用漏洞查询儿童电话手表连接的服务器,就可以查看到客户信息,并根据相应ID号直接查看孩子的地理位置、日常活动轨迹等隐私内容。”

输入儿童电话手表ID号就可定位

家长的手机号码跟自己孩子的儿童电话手表都是绑定的。所以,黑客只需要知道家长的手机号码,就能通过这个手机号码倒推出儿童电话手表的ID号。

“每个儿童电话手表的ID号都是唯一的,获得ID号后,直接输入攻击程序,就可以攻击这块儿童电话手表了。”李乐言现场示范,他在一段攻击程序里写入了自己事先准备的一块儿童电话手表的ID号,再对这块儿童电话手表实施攻击,很快,电脑屏幕上就出现了这块儿童电话手表所在的经度和纬度数字。将经度和纬度输入百度地图,很快就显示出了这块手表所在的精确位置。

儿童电话手表貌似没动静 监听已经在发生

对儿童电话手表的控制,为什么这么容易实现?“主要是由于各厂商对普通手表增加联网功能后,通过后台服务器作为枢纽,将家长手机和孩子的手表联系起来。由于一些厂商对服务器重视度不够,甚至有些厂商根本没有自己的服务器,将儿童电话手表最为关键的一块服务内容外包给其他服务商,安全性存疑。黑客将服务器作为节点进行攻击,服务器薄弱的厂商就很容易受到控制。”李乐言解释。

李乐言重新设置了一个攻击程序,将记者的手机号输入到程序中。“因为监听一般需要在被监听者不察觉的情况下进行,所以我操作时,通过程序控制这款儿童电话手表拨打你的电话,你这边一接听,就可以听到儿童电话手表这边的一切声音。”记者看到,被攻击的儿童电话手表一直处于黑屏状态,没有任何迹象,而记者的手机上有号码显示。

在后台可修改通信录

“儿童电话手表基本都有通话功能,里面有个通信录,一般保存了爸爸妈妈、爷爷奶奶等亲属的电话。可实际上,这些通信录中的电话号码我都可以从后台上修改。”李乐言说。

他首先通过后台服务器,拿到这块儿童电话手表的通信录,再通过攻击软件,对通信录上的电话号码进行修改,然后再上传回服务器。很快,他用自己的手机向这块儿童电话手表拨号,儿童电话手表屏幕上就清晰显示出“爸爸”的字样。“从孩子的角度,他看到的是爸爸来的电话,但实际上,这个号码根本不是他爸爸的号码。”不难想象,如果现实中孩子真的接到这样的电话,对电话那头的陌生人肯定无形间就会产生很大的信任感。

设置复杂密码做好自我保护

李乐言建议,尽量挑选一些大品牌的儿童电话手表。“儿童电话手表需要厂家定期对服务器进行检测,这些考验厂家的综合实力,一般的私人小品牌可能无法做到。”此外,作为购买了儿童电话手表的家长,在设置密码时可以做好充足的自我保护,“设置具有一定长度、含有特殊字符的密码。”他还提醒家长,要及时对儿童电话手表的APP进行更新,有些更新可能就是发现了漏洞,如果不及时更新,就很有可能被人钻空子。”

相关文章
最新文章
热点推荐