儿童电话手表存隐患--潍坊晚报数字报刊

儿童电话手表存隐患

“黑客”后台拨号　显示“爸爸”来电
　　日渐流行的儿童电话手表大多被冠以“智能”头衔,以“安全”、“便捷”作为产品的最大卖点。这两年,儿童电话手表因为有定位和通话的功能,受到广大父母的青睐。大部分家长给孩子购买儿童电话手表的初衷是为了获得一份安全感,那么这样的一块手表真的能带给孩子安全吗?日前,记者走进工业和信息化部电子第五研究所赛宝质量安全检测中心,对儿童电话手表可能存在的安全漏洞进行实测验证。

漏洞根源在厂家服务器上
　　当下的各款儿童电话手表的功能不少,不仅能打电话、发微信,还有实时定位以及监听功能。使用起来也很简单,买一张电话卡放入智能手表,然后通过手机下载一个跟手表匹配的APP之后,家长的手机和孩子的智能手表就可实现绑定。目前,这种儿童电话手表卖得挺火。很多小学的班级里,几乎有一半学生都购买了不同款的儿童电话手表。　　“目前国家对于儿童电话手表等智能穿戴设备还没有统一的规范,这类产品在信息安全方面的质量参差不齐”。工业和信息化部电子第五研究所赛宝质量安全检测中心信息安全工程师李乐言说,从去年开始,就陆续有黑客在国内安全平台乌云上,曝光了儿童电话手表的相关漏洞,漏洞的主要根源在厂家的服务器上。
　　“现在的儿童智能手机所有信息其实都在后台服务器上,攻击者可利用漏洞查询智能手表连接的服务器,就可以查看到客户信息,并根据相应ID直接查看孩子的地理位置、实时监控孩子的地理坐标、日常活动轨迹及环境录音等隐私内容。”李乐言说。
验证码输入次数没有限制
　　记者随即登录了这一网站,通过搜索引擎,就可以轻松搜索到不少儿童电话手表品牌存在安全漏洞的信息,其中包括任意用户密码重置、无登录防控等诸多方面。“用户密码任意重置,就是说以忘记密码的方式,重置你的密码,这样你的用户号码完全就可以变成我的。”李乐言说,不少儿童电话手表品牌并没有对验证码的输入次数进行限制,任何人都可以进行无限次的输入。“四位数的验证码,最多只需要电脑输入1万多次,就能试出来,一旦试出来,就可以进行密码重置了。”此外,用户在进行登录时,后台服务器也并没有一个登录防控功能,只是单向认证。“黑客在10分钟内就能试出100多个密码来。
　　“其实修补安全漏洞的技术门槛并不高,只要有一些网络开发经验的研发人员就能做到。只要生产方重视,避免这样的安全漏洞是可以实现的。”李乐言表示,但从目前来看,国家并没有在网络安全这块设置详细的标准要求,如果厂商仅仅重视用户体验来抢占市场、而忽略了产品的安全设计和开发,增加的网络控制功能就可能成为恶意攻击者利用的通道。
鉴定
监听、定位、改通讯录　电脑上几分钟就能搞定
输入ID号　经度纬度清晰定位
　　李乐言首先准备好了攻击代码,然后打开相应的网络攻击程序。“这些其实对于专业人员来说并不复杂,一些网站甚至都已经公布了代码。”因为现实中,家长的手机号码跟自己孩子的儿童电话手表都是绑定的。所以,黑客只需要知道家长的手机号码,就能通过这个手机号码倒推出儿童电话手表的ID号。　
　　“每个儿童电话手表的ID号都是唯一的,获得ID号码后,直接输入攻击程序,就可以攻击这个儿童电话手表了。”李乐言现场示范,他在一段攻击程序里写入了自己事先准备的一块儿童电话手表ID号,再实施攻击,很快,电脑屏幕上就出现了这块儿童电话手表所在的经度和纬度数字。将经度和纬度输入百度地图,很快就显示出了这块手表所在的精确位置,就是当天记者所在的实验室,地图显示非常准确。“通过这个原理,我实际上可以选择任何一个ID号进行定位。”李乐言说。
手表貌似没动静　但已被监听
　　李乐言重新设置了一个攻击程序,将记者的手机号输入到程序中。“因为监听一般都需要在被监听者不察觉的情况下进行,所以我操作时,通过程序,控制这款电话手表进行拨出,拨打你的电话,你这边一接听,就可以听到儿童电话手表这边的一切声音。”记者现场看到,被攻击的儿童电话手表一直是处于黑屏状态,没有任何迹象,可记者的手机却显示出了号码。“这个就是这块儿童电话手表打过来的。”记者拿着手机走到室外接通电话,就和平时打电话一样,非常清晰地听到室内的一切声音。
通讯录号码　在后台可进行修改
　　“儿童电话手表基本都有通话功能的,里面有个通讯录,一般都保存了爸爸妈妈、爷爷奶奶等亲属的电话。可实际上,这些通讯录号码我都可以从后台上进行修改。”李乐言很快进行了第三个实验。　
　　他首先通过后台服务器,拿到这块手表的通讯录,再通过攻击软件,对通讯录上的电话号码进行修改,然后再上传回服务器。很快,他用自己的手机向这块儿童电话手表进行拨号,儿童电话手表屏幕上就清晰显示出“爸爸”的字样。
　　“从孩子的角度,他看到的是爸爸打来的电话,但实际上,这个号码根本不是他爸爸的号码了。”不难想象,如果现实中孩子真的接到这样的电话,对电话那头的陌生人肯定无形间就会产生很大的信任感。

专家建议　设置密码要谨慎
　　李乐言建议,家长在购买时尽量挑选一些优质有保证的大品牌。“智能手表需要厂家定期对服务器客户端进行检测,包括信息的存储、传输、使用等环节,这些都考验厂家的综合实力,一般的私人小品牌可能无法做到。”此外,作为购买了儿童电话手表的家长,在设置密码时也可以做好充足的自我保护,“设置具有一定长度,含有特殊字符的密码。”他还提醒家长,要及时对儿童电话手表的APP进行更新,“有些更新可能就是发现了漏洞,如果不及时更新,很有可能就被人钻空子。”
　　　　　　　　本报综合报道