由此宣布,位置数据的主要性可见一斑。试想一下,如果是你家孩子的实时定位信息被陌生人节制,那该是多恐怖的一件事?!
实际上,一旦带有定位追踪功能的儿童智好手表存在安全漏洞,这样的事情并不迢遥。包括 Techcrunch、Pen Test Partners、Rapid7、Avast 等外媒和国外安全软件公司,近期相继曝出多家中国儿童智好手表供应商普遍存在安全防护漏洞问题,据估计,至少有 4700 万乃至更多数量的终端设备可能受此影响。
图 | 儿童智好手表(来源:Rapid7)
黑客基于这些安全漏洞不仅能检索或改变儿童的实时 GPS 位置,还可以给他们打电话和或悄悄监视孩子的活动范围,或者从不屈安的云端捕获到基于设备的通话音频文件。
这给儿童智能产品市场敲响了一记警钟,本来想省心的你是否买到了不靠谱的儿童智好手表?
用户信息在什么环节被泄露了?具备定位追踪功能的儿童智好手表事情事理实在很大略,很多元器件在市情上十分常见且价格不贵。腕表内的主板 SOC 模组集成了供应位置的 GPS 模块,以及向设备供应 GPRS 数据传输 + SMS 短信功能的 SIM 卡模块。
对儿童智好手表的 SIM 卡或物联网卡进行激活,绑定其他手机设备和 APP 程序后就能进行数据传输,家长在手机上打开相匹配的运用,就能实时得到孩子的位置信息。
图 | 定位基本事理(来源 Avast)
而常见的漏洞便是涌如今设备联网之后各项涉及用户数据的交互环节,比如用户注册上岸过程、与设备关联的 Web 网页和管理站点、移动运用程序和云之间的通信量,以及 GPS 与云之间的 GPRS 通信量等。
图 | 智好手表 GPS 跟踪器的范例数据传输构造(来源 Avast)
安全软件公司 AVAST Software 通过检测 Shenzhen i365 Tech 产品干系的 Web 运用程序创造,所有的要求都是纯文本的标准 JSONAjax(一种轻量级的数据交流格式)要求,且所有要求都是未加密和明文的,传输信息附带指定的 ID 号和默认密码 123456,更值得关注的是黑客基于这些漏洞可以向设备发出指令,除了能得到 GPS 坐标,可能还有更 “黑” 的操作:
图 | Web 运用程序 Ajax 要求(来源 Avast)
比如可以让儿童智好手表拨打存储名单中的任意电话号码,一旦连接上,就可以监听到用户的语音数据,而用户却不知情;可以引发设备 SOS 模式,发送短信给所有号码,进而利用 SMS(短信服务)作为攻击矢量;乃至可以发送一个 URL 的更新固件许可在设备上安装新固件,植入一些木马程序。
图 | 上岸包和指令要求传输过程中的各种数据信息,涉及 ID、密码等用户敏感信息已打码(来源 Avast)
利用这些漏洞,黑客可以轻而易举地震员“MITM 攻击”(中间人攻击,一种间接的入侵攻击办法),通过把黑客掌握的一台打算机虚拟放置在网络连接中的两台通信打算机之间,结合用于来回发送数据的不屈安协议,黑客可以利用标准 IP 工具攻击捕获所有用户数据。
图 | 黑客攻击的办法(来源 Avast)
有用户调侃,对付这些劣质的儿童智好手表,定位不精准或许成了最大优点,最最少被黑客截取信息后,也不能准确找到孩子的位置和行踪。
三家被点名的中国公司被外媒和安全公司表露存在安全漏洞的三家公司分别为 Thinkrace、Shenzhen i365 Tech、3G ELECTRONICS,经查证工商资料,三家都是深圳地区的科技电子企业。
Thinkrace 是深圳市尚锐科技有限公司,3G ELECTRONICS 是深圳市三基同创电子有限公司,而 Shenzhen i365 Tech 从其官网展示信息线索看,关联的公司主体或为深圳市叁创新科技有限公司和深圳市叁陆伍物联科技有限公司。
三家公司旗下都有一块相似的业务板块,即生产发卖 GPS 跟踪器和智能穿着,包括干系的软硬件开拓办理方案,供应 OEM/ODM 做事,基于现成的产品技能方案,第三方经营者可以轻易地贴牌进行转卖发卖,很多客户都在外洋,包括北美和欧洲许多国家地区。
图 | 一种现成的儿童智好手表的产品开拓方案(来源:3G ELECTRONICS)
Thinkrace 该当是三家公司中最大的一家。资料显示,该公司成立于 2006 年,专门从事智能穿着设备、车联网等产品的设计、制造和整合行业办理方案,据悉每年能生产交付超过 300 万台物联网设备,还曾作为 2019 年天下夏季特奥会指定穿着设备供应商。
而据 Techcrunch 宣布,很多 Thinkrace 生产或贴牌转售的设备,背后都关联到一个不屈安的云平台上。
Thinkrace 云平台的安全漏洞紧张是由于云端 API 调用和加密的问题,没有采取 SSL 加密(一种为保护敏感数据在传送过程中的安全而设置的加密技能),暴露了一些密码和数据的明文传输漏洞,然后调用 API 的时候也没有做动态的校验。
关于安全漏洞问题,DeepTech 联系到 Thinkrace 公司卖力人唐日新(RickTang)。他回应称,目前在自己公司管控范畴内的安全漏洞实在都已经进行了排查修复。
唐日新表示,现在的数据干系环节都已进行了加密和动态校验支配。比如采取了比较成熟的 Web API Token 办法,第三方想要调用数据须要申请一个 Token,且验证会有韶光限定,对一些数据进行了安全保护的强化,如果验证超时则须要要求一个新的 Token 才能调用数据。
图 | 一款儿童智好手表的内部布局(来源:Pen Test Partners)
但这次安全漏洞的修复并不能完备覆盖所有 Thinkrace 之前生产的设备,缘故原由是在云做事和软件开拓层面,实际上有不少 Thinkrace 的第三方客户会自己去做开拓,包括 APP、云做事和一些新增软件功能,Thinkrace 只供应了硬件设备的方案或产品制造,因此无法保障他们产品数据的安全性,这部分设备发卖出去也不在其掌握范围之内。
其余,天下各国对付信息数据安全的标准和哀求不同,很多欧洲客户不仅是哀求担保 API 和云做事的安全。比如欧盟目前履行的 GDPR 通用数据保护条例,包括 Google 和 Facebook 等科技巨子都会时常遭到诉讼,动辄要面临数十亿欧元的罚款,欧美地区的法规监管相对会更严格一点。
而数据安全漏洞不仅包括数据的传输环节,也涉及怎么利用数据,利用哪些类型的数据,利用数据的存活是多永劫光,有没有向用户如实表露,用户能不能彻底清理数据,企业要用这些数据做什么事情等等,这些环节都存在用户数据被泄露的风险。
“我们不能担保每个客户都能按照 GDPR 的标准去实行落实,但在欧洲,我们会只管即便帮忙客户一起去做好数据安全系统的完善。”唐日新说。
DeepTech 也考试测验联系 Shenzhen i365 Tech 和 3G ELECTRONICS 等讯问其安全漏洞干系办理方法,截至发稿前尚未收到回应,其安全问题可能仍未得到有效办理。
家当链弊病仍难拔除据业内人士先容,环球儿童智好手表大概有 90% 来自深圳,很多杂牌儿童智好手表的开拓方案险些没有什么技能门槛,堪称“地摊货”,尤其是在电子产品家当链完备的深圳地区,山寨小厂非常多,很多百元旁边的智好手表硬件模块大多是由劣质乃至二手零件拼装,一只腕表的本钱最低只有十几元,背后的技能团队能力水平很低,数据安全根本无从谈起。
图 | 深圳市关于儿童智好手表的辅导文件(来源:深圳市市场和质量监督管理委员会)
2018 年 5 月,深圳市消委会曾牵头体例发布《深圳市儿童智好手表标准化技能文件》团体标准,试图从家当链层面办理行业无标准、无监管以及山寨杂牌横行的乱象,文件里概括性提到了在终端、客户端、安全管理平台、数据传输等层面的信息安全哀求,但关于这些安全哀求细则怎么真正落实到干系企业,形成最好的管理效果仍需结合多种政策手段进行推进。
海内儿童智好手表目前只有极少品牌有实力配备完善的硬件、软件、ROM、云做事等高质量的运维开拓团队,大部分杂牌儿童智好手表为了降落本钱,都是利用的现成办理方案贴牌跑销量为主,包括腕表的系统、APP 以及共用的做事器后台接入,如果源头厂商对安全性不足重视,下贱市场一定安全漏洞百出,混乱一片。
对付企业来说,儿童智好手表虽然是儿童产品,但绝不能以乱来小孩的心态来做,做儿童智能产品,反而须要履行更严格和完备的产品安全标准,来为孩子们真正撑起一把保护伞。
