工程師用手機(jī)向兒童電話手表進(jìn)行撥號，兒童電話手表屏幕上清晰顯示出“爸爸”的字樣。

黑客只需要知道家長的手機(jī)號，就能通過這個手機(jī)號碼倒推出兒童電話手表的ID號。

很多兒童電話手表只對手機(jī)端進(jìn)行了身份確認(rèn)。

日漸流行的兒童電話手表大多被冠以“智能”頭銜，以“安全”、“便捷”作為產(chǎn)品的最大賣點(diǎn)。這兩年，兒童電話手表因?yàn)橛卸ㄎ缓屯ㄔ挼墓δ?，受到廣大父母的青睞。大部分家長給孩子購買兒童電話手表的初衷是為了獲得一份安全感，那么這樣的一塊手表真的能帶給孩子安全嗎？

從去年開始，多款兒童電話手表的相關(guān)漏洞，被白帽黑客陸續(xù)公布在國內(nèi)安全平臺烏云上，漏洞的主要根源在廠家的服務(wù)器上。這些漏洞真的存在嗎？如果發(fā)現(xiàn)兒童電話手表存在安全漏洞，家長們又該如何進(jìn)行安全預(yù)防？3月14日上午，南都鑒定走進(jìn)工業(yè)和信息化部電子第五研究所賽寶質(zhì)量安全檢測中心，對兒童電話手表可能存在的安全漏洞進(jìn)行實(shí)測驗(yàn)證。

鑒定由頭

班里近半小學(xué)生都買了電話手表

當(dāng)下的各款兒童電話手表的功能不少，不僅能打電話、發(fā)微信，還有實(shí)時定位以及監(jiān)聽功能。使用起來也很簡單，買一張電話卡放入智能手表，然后通過手機(jī)下載一個跟手表匹配的A PP之后，家長的手機(jī)和孩子的智能手表就可實(shí)現(xiàn)綁定。目前，這種兒童電話手表賣得挺火。廣州市很多小學(xué)的班級里，幾乎有一半學(xué)生都購買了不同款的兒童電話手表。

“目前國家對于兒童電話手表等智能穿戴設(shè)備還沒有統(tǒng)一的規(guī)范，這類產(chǎn)品在信息安全方面的質(zhì)量參差不齊”。工業(yè)和信息化部電子第五研究所賽寶質(zhì)量安全檢測中心信息安全工程師李樂言說，從去年開始，就陸續(xù)有白帽黑客在國內(nèi)安全平臺烏云上，曝光了兒童安全手表的相關(guān)漏洞，漏洞的主要根源在廠家的服務(wù)器上?！艾F(xiàn)在的兒童智能手機(jī)所有信息其實(shí)都在后臺服務(wù)器上，攻擊者可利用漏洞查詢智能手表連接的服務(wù)器，就可以查看到客戶信息，并根據(jù)相應(yīng)ID直接查看孩子的地理位置、實(shí)時監(jiān)控孩子的地理坐標(biāo)、日?；顒榆壽E及環(huán)境錄音等隱私內(nèi)容?！?/p>

后臺服務(wù)器是漏洞根源驗(yàn)證碼輸入次數(shù)無限制

鑒定君隨即登錄了這一網(wǎng)站，通過搜索引擎，就可以輕松搜索到不少兒童電話手表品牌存在安全漏洞的信息，其中包括任意用戶密碼重置、無登錄防控等諸多方面?！坝脩裘艽a任意重置，就是說以忘記密碼的方式，重置你的密碼，這樣你的用戶號碼完全就可以變成我的?！崩顦费哉f，不少兒童電話手表品牌并沒有對驗(yàn)證碼的輸入次數(shù)進(jìn)行限制，任何人都可以進(jìn)行無限次的輸入。“四位數(shù)的驗(yàn)證碼，最多只需要電腦輸入9萬多次，就能試出來，一旦試出來，就可以進(jìn)行密碼重置了?！贝送猓脩粼谶M(jìn)行登錄時，后臺服務(wù)器也并沒有一個登錄防控功能，只是單向認(rèn)證?！昂诳驮谑昼妰?nèi)就能試出100多個密碼來?！?/p>

“其實(shí)修補(bǔ)安全漏洞的技術(shù)門檻并不高，只要有一些網(wǎng)絡(luò)開發(fā)經(jīng)驗(yàn)的研發(fā)人員就能做到。只要生產(chǎn)方重視，避免這樣的安全漏洞是可以實(shí)現(xiàn)的?！崩顦费员硎?，但從目前來看，國家并沒有在網(wǎng)絡(luò)安全這塊設(shè)置詳細(xì)的標(biāo)準(zhǔn)要求，如果廠商僅僅重視用戶體驗(yàn)來搶占市場、而忽略了產(chǎn)品的安全設(shè)計(jì)和開發(fā)，增加的網(wǎng)絡(luò)控制功能就可能成為惡意攻擊者利用的通道，泄露個人信息在所難免。