新聞中心news 
CQ9電子兒童智能手表爆高危漏洞黑客能輕易追蹤孩子!涉多家中國廠(chǎng)商、4700萬(wàn)臺設備
2024-08-16 21:41:04
瀏覽次數:
次
返回列表
CQ9電子兒童智能手表爆高危漏洞黑客能輕易追蹤孩子!涉多家中國廠(chǎng)商、4700萬(wàn)臺設備因一個(gè)定位追蹤數據庫的暴露,僅通過(guò)一部智能手機的精準定位數據,短短幾分鐘內,美國總統特朗普的一舉一動(dòng)就被完全鎖定掌握。《紐約時(shí)報》在 12 月 20 日刊出的《如何追蹤特朗普》一文,披露了這份重磅級數據庫的存在,內含 1200 多萬(wàn)美國人、500 億個(gè)定位信號,其中包括很多美國名人、政要的定位信息。
由此報道,位置數據的重要性可見(jiàn)一斑。試想一下,如果是你家孩子的實(shí)時(shí)定位信息被陌生人掌握,那該是多可怕的一件事?!
實(shí)際上,一旦帶有定位追蹤功能的兒童智能手表存在安全漏洞,這樣的事情并不遙遠。包括 Techcrunch、Pen Test Partners、Rapid7、Avast 等外媒和國外安全軟件公司,近期相繼曝出多家中國兒童智能手表供應商普遍存在安全防護漏洞問(wèn)題,據估計,至少有 4700 萬(wàn)甚至更多數量的終端設備可能受此影響。
黑客基于這些安全漏洞不僅能檢索或改變兒童的實(shí)時(shí) GPS 位置,還可以給他們打電話(huà)和或悄悄監視孩子的活動(dòng)范圍,或者從不安全的云端捕獲到基于設備的通話(huà)音頻文件。
具備定位追蹤功能的兒童智能手表工作原理其實(shí)很簡(jiǎn)單,很多元器件在市面上十分常見(jiàn)且價(jià)格不貴。手表內的主板 SOC 模組集成了提供位置的 GPS 模塊,以及向設備提供 GPRS 數據傳輸 + SMS 短信功能的 SIM 卡模塊。
對兒童智能手表的 SIM 卡或物聯(lián)網(wǎng)卡進(jìn)行激活,綁定其他手機設備和 APP 程序后就能進(jìn)行數據傳輸,家長(cháng)在手機上打開(kāi)相匹配的應用,就能實(shí)時(shí)得到孩子的位置信息。
而常見(jiàn)的漏洞便是出現在設備聯(lián)網(wǎng)之后各項涉及用戶(hù)數據的交互環(huán)節,比如用戶(hù)注冊登陸過(guò)程、與設備關(guān)聯(lián)的 Web 網(wǎng)頁(yè)和管理站點(diǎn)、移動(dòng)應用程序和云之間的通信量,以及 GPS 與云之間的 GPRS 通信量等。
安全軟件公司 AVAST Software 通過(guò)檢測 Shenzhen i365 Tech 產(chǎn)品相關(guān)的 Web 應用程序發(fā)現,所有的請求都是純文本的標準 JSONAjax(一種輕量級的數據交換格式)請求,且所有請求都是未加密和明文的,傳輸信息附帶指定的 ID 號和默認密碼 123456,更值得關(guān)注的是黑客基于這些漏洞可以向設備發(fā)出指令,除了能獲得 GPS 坐標,可能還有更 “黑” 的操作:
比如可以讓兒童智能手表?yè)艽虼鎯γ麊沃械娜我怆娫?huà)號碼,一旦連接上,就可以到用戶(hù)的語(yǔ)音數據,而用戶(hù)卻不知情;可以激發(fā)設備 SOS 模式,發(fā)送短信給所有號碼,進(jìn)而使用 SMS(短信服務(wù))作為攻擊矢量;甚至可以發(fā)送一個(gè) URL 的更新固件允許在設備上安裝新固件,植入一些木馬程序。
圖 登陸包和指令請求傳輸過(guò)程中的各類(lèi)數據信息,涉及 ID、密碼等用戶(hù)敏感信息已打碼(來(lái)源 Avast)
利用這些漏洞,黑客可以輕而易舉地發(fā)動(dòng)“MITM 攻擊”(中間人攻擊,一種間接的入侵攻擊方式),通過(guò)把黑客控制的一臺計算機虛擬放置在網(wǎng)絡(luò )連接中的兩臺通信計算機之間,結合用于來(lái)回發(fā)送數據的不安全協(xié)議,黑客可以使用標準 IP 工具攻擊捕獲所有用戶(hù)數據。
有用戶(hù)調侃,對于這些劣質(zhì)的兒童智能手表,定位不精準或許成了最大優(yōu)點(diǎn),最起碼被黑客截取信息后,也不能準確找到孩子的位置和行蹤。
被外媒和安全公司披露存在安全漏洞的三家公司分別為 Thinkrace、Shenzhen i365 Tech、3G ELECTRONICS,經(jīng)查證工商資料,三家都是深圳地區的科技電子企業(yè)。
Thinkrace 是深圳市尚銳科技有限公司,3G ELECTRONICS 是深圳市三基同創(chuàng )電子有限公司,而 Shenzhen i365 Tech 從其官網(wǎng)展示信息線(xiàn)索看,關(guān)聯(lián)的公司主體或為深圳市叁創(chuàng )新科技有限公司和深圳市叁陸伍物聯(lián)科技有限公司。
三家公司旗下都有一塊相似的業(yè)務(wù)板塊,即生產(chǎn)銷(xiāo)售 GPS 跟蹤器和智能穿戴,包括相關(guān)的軟硬件開(kāi)發(fā)解決方案,提供 OEM/ODM 服務(wù),基于現成的產(chǎn)品技術(shù)方案,第三方經(jīng)營(yíng)者可以輕易地貼牌進(jìn)行轉賣(mài)銷(xiāo)售,很多客戶(hù)都在海外,包括北美和歐洲許多國家地區。
Thinkrace 應該是三家公司中最大的一家。資料顯示,該公司成立于 2006 年,專(zhuān)門(mén)從事智能穿戴設備、車(chē)聯(lián)網(wǎng)等產(chǎn)品的設計、制造和整合行業(yè)解決方案,據悉每年能生產(chǎn)交付超過(guò) 300 萬(wàn)臺物聯(lián)網(wǎng)設備,還曾作為 2019 年世界夏季特奧會(huì )指定穿戴設備供應商。
而據 Techcrunch 報道,很多 Thinkrace 生產(chǎn)或貼牌轉售的設備,背后都關(guān)聯(lián)到一個(gè)不安全的云平臺上。
Thinkrace 云平臺的安全漏洞主要是因為云端 API 調用和加密的問(wèn)題,沒(méi)有采用 SSL 加密(一種為保護敏感數據在傳送過(guò)程中的安全而設置的加密技術(shù)),暴露了一些密碼和數據的明文傳輸漏洞,然后調用 API 的時(shí)候也沒(méi)有做動(dòng)態(tài)的校驗。
關(guān)于安全漏洞問(wèn)題,DeepTech 聯(lián)系到 Thinkrace 公司負責人唐日新(RickTang)。他回應稱(chēng),目前在自己公司管控范疇內的安全漏洞其實(shí)都已經(jīng)進(jìn)行了排查修復。
唐日新表示,現在的數據相關(guān)環(huán)節都已進(jìn)行了加密和動(dòng)態(tài)校驗部署CQ9電子官網(wǎng)。比如采用了比較成熟的 Web API Token 方式,第三方想要調用數據需要申請一個(gè) Token,且驗證會(huì )有時(shí)間限制,對一些數據進(jìn)行了安全保護的強化,如果驗證超時(shí)則需要請求一個(gè)新的 Token 才能調用數據。
但這次安全漏洞的修復并不能完全覆蓋所有 Thinkrace 之前生產(chǎn)的設備,原因是在云服務(wù)和軟件開(kāi)發(fā)層面,實(shí)際上有不少 Thinkrace 的第三方客戶(hù)會(huì )自己去做開(kāi)發(fā),包括 APP、云服務(wù)和一些新增軟件功能,Thinkrace 只提供了硬件設備的方案或產(chǎn)品制造,因此無(wú)法保障他們產(chǎn)品數據的安全性,這部分設備銷(xiāo)售出去也不在其控制范圍之內。
另外,世界各國對于信息數據安全的標準和要求不同,很多歐洲客戶(hù)不僅是要求保證 API 和云服務(wù)的安全。比如歐盟目前實(shí)施的 GDPR 通用數據保護條例,包括 Google 和 Facebook 等科技巨頭都會(huì )時(shí)常遭到訴訟,動(dòng)輒要面臨數十億歐元的罰款,歐美地區的法規監管相對會(huì )更嚴格一點(diǎn)。
而數據安全漏洞不僅包括數據的傳輸環(huán)節,也涉及怎么使用數據,使用哪些類(lèi)型的數據,使用數據的存活是多長(cháng)時(shí)間,有沒(méi)有向用戶(hù)如實(shí)披露,用戶(hù)能不能徹底清理數據,企業(yè)要用這些數據做什么事情等等,這些環(huán)節都存在用戶(hù)數據被泄漏的風(fēng)險。
“我們不能保證每個(gè)客戶(hù)都能按照 GDPR 的標準去執行落實(shí),但在歐洲,我們會(huì )盡量協(xié)助客戶(hù)一起去做好數據安全系統的完善。”唐日新說(shuō)。
DeepTech 也嘗試聯(lián)系 Shenzhen i365 Tech 和 3G ELECTRONICS 等詢(xún)問(wèn)其安全漏洞相關(guān)解決措施,截至發(fā)稿前尚未收到回應,其安全問(wèn)題可能仍未得到有效解決。
據業(yè)內人士介紹,全球兒童智能手表大概有 90% 來(lái)自深圳,很多雜牌兒童智能手表的開(kāi)發(fā)方案幾乎沒(méi)有什么技術(shù)門(mén)檻,堪稱(chēng)“地攤貨”,尤其是在電子產(chǎn)品產(chǎn)業(yè)鏈完備的深圳地區,山寨小廠(chǎng)非常多,很多百元左右的智能手表硬件模塊大多是由劣質(zhì)甚至二手零件拼裝,一只手表的成本最低只有十幾元,背后的技術(shù)團隊能力水平很低,數據安全根本無(wú)從談起。
2018 年 5 月,深圳市消委會(huì )曾牽頭編制發(fā)布《深圳市兒童智能手表標準化技術(shù)文件》團體標準,試圖從產(chǎn)業(yè)鏈層面解決行業(yè)無(wú)標準、無(wú)監管以及山寨雜牌橫行的亂象,文件里概括性提到了在終端、客戶(hù)端、安全管理平臺、數據傳輸等層面的信息安全要求,但關(guān)于這些安全要求細則怎么真正落實(shí)到相關(guān)企業(yè),形成最好的治理效果仍需結合多種政策手段進(jìn)行推進(jìn)。
國內兒童智能手表目前只有極少品牌有實(shí)力配備完善的硬件、軟件、ROM、云服務(wù)等高質(zhì)量的運維開(kāi)發(fā)團隊,大部分雜牌兒童智能手表為了降低成本,都是使用的現成解決方案貼牌跑銷(xiāo)量為主,包括手表的系統、APP 以及共用的服務(wù)器后臺接入,如果源頭廠(chǎng)商對安全性不夠重視,下游市場(chǎng)必然安全漏洞百出,混亂一片。
對于企業(yè)來(lái)說(shuō),兒童智能手表雖然是兒童產(chǎn)品,但絕不能以糊弄小孩的心態(tài)來(lái)做,做兒童智能產(chǎn)品,反而需要實(shí)施更嚴格和完備的產(chǎn)品安全標準,來(lái)為孩子們真正撐起一把保護傘。
