广告

外媒曝4700万台中国儿童智能手表存高危漏洞,产地多为深圳

2019-12-31 阅读:
外媒曝4700万台中国儿童智能手表存高危漏洞,产地多为深圳
据报道称,包括Techcrunch、Pen Test Partners、Rapid7、Avast等外媒和国外安全软件公司,近期相继曝出多家中国儿童智能手表供应商普遍存在安全防护漏洞问题,据估计,至少有4700万甚至更多数量的终端设备可能受此影响。

《纽约时报》在 12 月 20 日刊出的《如何追踪特朗普》一文,文中披露了一个定位追踪数据库的暴露,并指出,仅通过一部智能手机的精准定位数据,短短几分钟内,美国总统特朗普的一举一动就被完全锁定掌握。据称,这份重磅级数据库内含 1200 多万美国人、500 亿个定位信号,其中包括很多美国名人、政要的定位信息。rI9ednc

就在昨日,据DeepTech深科技报道称,实际上,一旦带有定位追踪功能的儿童智能手表存在安全漏洞,这样的事情并不遥远。rI9ednc

包括Techcrunch、Pen Test Partners、Rapid7、Avast等外媒和国外安全软件公司,近期相继曝出多家中国儿童智能手表供应商普遍存在安全防护漏洞问题,据估计,至少有4700万甚至更多数量的终端设备可能受此影响。据了解,黑客基于安全漏洞不仅能查看佩戴者实时GPS位置,还可以进行语音通话,抑或是从不安全的云端捕获基于设备的通话音频文件。rI9ednc

用户信息在什么环节被泄漏了?

具备定位追踪功能的儿童智能手表工作原理其实很简单,很多元器件在市面上十分常见且价格不贵。手表内的主板 SOC 模组集成了提供位置的 GPS 模块,以及向设备提供 GPRS 数据传输 + SMS 短信功能的 SIM 卡模块。rI9ednc

对儿童智能手表的 SIM 卡或物联网卡进行激活,绑定其他手机设备和 APP 程序后就能进行数据传输,家长在手机上打开相匹配的应用,就能实时得到孩子的位置信息。rI9ednc

rI9ednc

图 | 定位基本原理(来源 Avast)rI9ednc

而常见的漏洞便是出现在设备联网之后各项涉及用户数据的交互环节,比如用户注册登陆过程、与设备关联的 Web 网页和管理站点、移动应用程序和云之间的通信量,以及 GPS 与云之间的 GPRS 通信量等。rI9ednc

rI9ednc

图 | 智能手表 GPS 跟踪器的典型数据传输结构(来源 Avast)rI9ednc

安全软件公司 AVAST Software 通过检测 Shenzhen i365 Tech 产品相关的 Web 应用程序发现,所有的请求都是纯文本的标准 JSONAjax(一种轻量级的数据交换格式)请求,且所有请求都是未加密和明文的,传输信息附带指定的 ID 号和默认密码 123456,更值得关注的是黑客基于这些漏洞可以向设备发出指令,除了能获得 GPS 坐标,可能还有更 “黑” 的操作:rI9ednc

rI9ednc

图 | Web 应用程序 Ajax 请求(来源 Avast)rI9ednc

比如可以让儿童智能手表拨打存储名单中的任意电话号码,一旦连接上,就可以监听到用户的语音数据,而用户却不知情;可以激发设备 SOS 模式,发送短信给所有号码,进而使用 SMS(短信服务)作为攻击矢量;甚至可以发送一个 URL 的更新固件允许在设备上安装新固件,植入一些木马程序。rI9ednc

rI9ednc

rI9ednc

图 | 登陆包和指令请求传输过程中的各类数据信息,涉及 ID、密码等用户敏感信息已打码(来源 Avast)rI9ednc

利用这些漏洞,黑客可以轻而易举地发动“MITM 攻击”(中间人攻击,一种间接的入侵攻击方式),通过把黑客控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,结合用于来回发送数据的不安全协议,黑客可以使用标准 IP 工具攻击捕获所有用户数据。rI9ednc

rI9ednc

图 | 黑客攻击的方式(来源 Avast)rI9ednc

有用户调侃,对于这些劣质的儿童智能手表,定位不精准或许成了最大优点,最起码被黑客截取信息后,也不能准确找到孩子的位置和行踪。rI9ednc

三家被点名的中国公司均来自深圳

上述被外媒和安全公司披露存在安全漏洞的三家公司分别为 Thinkrace、Shenzhen i365 Tech、3G ELECTRONICS,经查证工商资料,三家都是深圳地区的科技电子企业。rI9ednc

Thinkrace 是深圳市尚锐科技有限公司,3G ELECTRONICS 是深圳市三基同创电子有限公司,而 Shenzhen i365 Tech 从其官网展示信息线索看,关联的公司主体或为深圳市叁创新科技有限公司和深圳市叁陆伍物联科技有限公司。rI9ednc

本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 东芝推出适用于高效率电源的新款1200V碳化硅MOSFET 东芝电子元件及存储装置株式会社(“东芝”)今日宣布,推出新款1200V碳化硅(SiC)MOSFET---“TW070J120B”。该产品面向工业应用(包括大容量电源),并于今日开始出货。
  • 纳米供电集成电路可实现智能能耗 工业设计工程师希望提高楼宇的能源效率,以降低公用事业成本并减少碳足迹。为真正提高效率,设计师必须同时关注新建筑和现有楼宇,扩建以及运营和维护带来的持续上涨的成本。
  • 边缘网络如何向智能化和计算增强方向演进 “永远在线,始终连接”(Always On, Always Connected)如今已经成为深入人心的生活方式,手机在其中扮演着至关重要的角色。它可以让我们随时随地获得数据,并实时通过多种沟通工具和他人保持联系。这种信息获取方式从根本上改变了我们做决定的方式,并进一步重塑着我们的行为。
  • 物联网设备面临的安全威胁分析 本文中的案例研究介绍了如何确定网络摄像头物联网设备的安全要求。顾名思义,这种设备已经实现互联,并广泛应用于众多应用,从简单的家庭网络摄像头到复杂的工业系统,不一而足。
  • 物联网开发板评测:梳理易犯错的细节 这款开发板上的蓝牙SoC,是基于Arm Cortex M3内核MCU,主要应用包括智能灯控、智能外设、智能玩具、电子标签、蓝牙语音遥控器。今天,EDN就带大家看一看这块板子包含哪些功能,以及最最重要的,在玩它的时候,可能遇到哪些问题。
  • 边缘设备能够展现多强的智能? 由于物联网的快速发展,以及实现物联网设备智能化所需算力和处理能力的提升,“边缘”一词的内涵可能更广,它可以指从“网关边缘”到“端点”的任何设备。那么业界对边缘与端点的定义是否达成了共识?谁需要边缘AI?边缘设备可以多智能?
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了