工程師用手機(jī)向兒童電話手表進(jìn)行撥號(hào)，兒童電話手表屏幕上清晰顯示出“爸爸”的字樣。

黑客只需要知道家長(zhǎng)的手機(jī)號(hào)，就能通過(guò)這個(gè)手機(jī)號(hào)碼倒推出兒童電話手表的ID號(hào)。

很多兒童電話手表只對(duì)手機(jī)端進(jìn)行了身份確認(rèn)。

日漸流行的兒童電話手表大多被冠以“智能”頭銜，以“安全”、“便捷”作為產(chǎn)品的最大賣(mài)點(diǎn)。這兩年，兒童電話手表因?yàn)橛卸ㄎ缓屯ㄔ挼墓δ?，受到廣大父母的青睞。大部分家長(zhǎng)給孩子購(gòu)買(mǎi)兒童電話手表的初衷是為了獲得一份安全感，那么這樣的一塊手表真的能帶給孩子安全嗎？

從去年開(kāi)始，多款兒童電話手表的相關(guān)漏洞，被白帽黑客陸續(xù)公布在國(guó)內(nèi)安全平臺(tái)烏云上，漏洞的主要根源在廠家的服務(wù)器上。這些漏洞真的存在嗎？如果發(fā)現(xiàn)兒童電話手表存在安全漏洞，家長(zhǎng)們又該如何進(jìn)行安全預(yù)防？3月14日上午，南都鑒定走進(jìn)工業(yè)和信息化部電子第五研究所賽寶質(zhì)量安全檢測(cè)中心，對(duì)兒童電話手表可能存在的安全漏洞進(jìn)行實(shí)測(cè)驗(yàn)證。

鑒定由頭

班里近半小學(xué)生都買(mǎi)了電話手表

當(dāng)下的各款兒童電話手表的功能不少，不僅能打電話、發(fā)微信，還有實(shí)時(shí)定位以及監(jiān)聽(tīng)功能。使用起來(lái)也很簡(jiǎn)單，買(mǎi)一張電話卡放入智能手表，然后通過(guò)手機(jī)下載一個(gè)跟手表匹配的A PP之后，家長(zhǎng)的手機(jī)和孩子的智能手表就可實(shí)現(xiàn)綁定。目前，這種兒童電話手表賣(mài)得挺火。廣州市很多小學(xué)的班級(jí)里，幾乎有一半學(xué)生都購(gòu)買(mǎi)了不同款的兒童電話手表。

“目前國(guó)家對(duì)于兒童電話手表等智能穿戴設(shè)備還沒(méi)有統(tǒng)一的規(guī)范，這類(lèi)產(chǎn)品在信息安全方面的質(zhì)量參差不齊”。工業(yè)和信息化部電子第五研究所賽寶質(zhì)量安全檢測(cè)中心信息安全工程師李樂(lè)言說(shuō)，從去年開(kāi)始，就陸續(xù)有白帽黑客在國(guó)內(nèi)安全平臺(tái)烏云上，曝光了兒童安全手表的相關(guān)漏洞，漏洞的主要根源在廠家的服務(wù)器上?！艾F(xiàn)在的兒童智能手機(jī)所有信息其實(shí)都在后臺(tái)服務(wù)器上，攻擊者可利用漏洞查詢(xún)智能手表連接的服務(wù)器，就可以查看到客戶(hù)信息，并根據(jù)相應(yīng)ID直接查看孩子的地理位置、實(shí)時(shí)監(jiān)控孩子的地理坐標(biāo)、日?；顒?dòng)軌跡及環(huán)境錄音等隱私內(nèi)容?！?/p>

后臺(tái)服務(wù)器是漏洞根源驗(yàn)證碼輸入次數(shù)無(wú)限制

鑒定君隨即登錄了這一網(wǎng)站，通過(guò)搜索引擎，就可以輕松搜索到不少兒童電話手表品牌存在安全漏洞的信息，其中包括任意用戶(hù)密碼重置、無(wú)登錄防控等諸多方面。“用戶(hù)密碼任意重置，就是說(shuō)以忘記密碼的方式，重置你的密碼，這樣你的用戶(hù)號(hào)碼完全就可以變成我的。”李樂(lè)言說(shuō)，不少兒童電話手表品牌并沒(méi)有對(duì)驗(yàn)證碼的輸入次數(shù)進(jìn)行限制，任何人都可以進(jìn)行無(wú)限次的輸入。“四位數(shù)的驗(yàn)證碼，最多只需要電腦輸入9萬(wàn)多次，就能試出來(lái)，一旦試出來(lái)，就可以進(jìn)行密碼重置了?！贝送?，用戶(hù)在進(jìn)行登錄時(shí)，后臺(tái)服務(wù)器也并沒(méi)有一個(gè)登錄防控功能，只是單向認(rèn)證?！昂诳驮谑昼妰?nèi)就能試出100多個(gè)密碼來(lái)。”

“其實(shí)修補(bǔ)安全漏洞的技術(shù)門(mén)檻并不高，只要有一些網(wǎng)絡(luò)開(kāi)發(fā)經(jīng)驗(yàn)的研發(fā)人員就能做到。只要生產(chǎn)方重視，避免這樣的安全漏洞是可以實(shí)現(xiàn)的。”李樂(lè)言表示，但從目前來(lái)看，國(guó)家并沒(méi)有在網(wǎng)絡(luò)安全這塊設(shè)置詳細(xì)的標(biāo)準(zhǔn)要求，如果廠商僅僅重視用戶(hù)體驗(yàn)來(lái)?yè)屨际袌?chǎng)、而忽略了產(chǎn)品的安全設(shè)計(jì)和開(kāi)發(fā)，增加的網(wǎng)絡(luò)控制功能就可能成為惡意攻擊者利用的通道，泄露個(gè)人信息在所難免。