向右滑动:上一篇 向左滑动:下一篇 我知道了
广告

外媒曝4700万台中国儿童智能手表存高危漏洞,产地多为深圳

时间:2019-12-31 阅读:
据报道称,包括Techcrunch、Pen Test Partners、Rapid7、Avast等外媒和国外安全软件公司,近期相继曝出多家中国儿童智能手表供应商普遍存在安全防护漏洞问题,据估计,至少有4700万甚至更多数量的终端设备可能受此影响。

《纽约时报》在 12 月 20 日刊出的《如何追踪特朗普》一文,文中披露了一个定位追踪数据库的暴露,并指出,仅通过一部智能手机的精准定位数据,短短几分钟内,美国总统特朗普的一举一动就被完全锁定掌握。据称,这份重磅级数据库内含 1200 多万美国人、500 亿个定位信号,其中包括很多美国名人、政要的定位信息。N4Qednc

就在昨日,据DeepTech深科技报道称,实际上,一旦带有定位追踪功能的儿童智能手表存在安全漏洞,这样的事情并不遥远。N4Qednc

包括Techcrunch、Pen Test Partners、Rapid7、Avast等外媒和国外安全软件公司,近期相继曝出多家中国儿童智能手表供应商普遍存在安全防护漏洞问题,据估计,至少有4700万甚至更多数量的终端设备可能受此影响。据了解,黑客基于安全漏洞不仅能查看佩戴者实时GPS位置,还可以进行语音通话,抑或是从不安全的云端捕获基于设备的通话音频文件。N4Qednc

用户信息在什么环节被泄漏了?

具备定位追踪功能的儿童智能手表工作原理其实很简单,很多元器件在市面上十分常见且价格不贵。手表内的主板 SOC 模组集成了提供位置的 GPS 模块,以及向设备提供 GPRS 数据传输 + SMS 短信功能的 SIM 卡模块。N4Qednc

对儿童智能手表的 SIM 卡或物联网卡进行激活,绑定其他手机设备和 APP 程序后就能进行数据传输,家长在手机上打开相匹配的应用,就能实时得到孩子的位置信息。N4Qednc

N4Qednc

图 | 定位基本原理(来源 Avast)N4Qednc

而常见的漏洞便是出现在设备联网之后各项涉及用户数据的交互环节,比如用户注册登陆过程、与设备关联的 Web 网页和管理站点、移动应用程序和云之间的通信量,以及 GPS 与云之间的 GPRS 通信量等。N4Qednc

N4Qednc

图 | 智能手表 GPS 跟踪器的典型数据传输结构(来源 Avast)N4Qednc

安全软件公司 AVAST Software 通过检测 Shenzhen i365 Tech 产品相关的 Web 应用程序发现,所有的请求都是纯文本的标准 JSONAjax(一种轻量级的数据交换格式)请求,且所有请求都是未加密和明文的,传输信息附带指定的 ID 号和默认密码 123456,更值得关注的是黑客基于这些漏洞可以向设备发出指令,除了能获得 GPS 坐标,可能还有更 “黑” 的操作:N4Qednc

N4Qednc

图 | Web 应用程序 Ajax 请求(来源 Avast)N4Qednc

比如可以让儿童智能手表拨打存储名单中的任意电话号码,一旦连接上,就可以监听到用户的语音数据,而用户却不知情;可以激发设备 SOS 模式,发送短信给所有号码,进而使用 SMS(短信服务)作为攻击矢量;甚至可以发送一个 URL 的更新固件允许在设备上安装新固件,植入一些木马程序。N4Qednc

N4Qednc

N4Qednc

图 | 登陆包和指令请求传输过程中的各类数据信息,涉及 ID、密码等用户敏感信息已打码(来源 Avast)N4Qednc

利用这些漏洞,黑客可以轻而易举地发动“MITM 攻击”(中间人攻击,一种间接的入侵攻击方式),通过把黑客控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,结合用于来回发送数据的不安全协议,黑客可以使用标准 IP 工具攻击捕获所有用户数据。N4Qednc

N4Qednc

图 | 黑客攻击的方式(来源 Avast)N4Qednc

有用户调侃,对于这些劣质的儿童智能手表,定位不精准或许成了最大优点,最起码被黑客截取信息后,也不能准确找到孩子的位置和行踪。N4Qednc

三家被点名的中国公司均来自深圳

上述被外媒和安全公司披露存在安全漏洞的三家公司分别为 Thinkrace、Shenzhen i365 Tech、3G ELECTRONICS,经查证工商资料,三家都是深圳地区的科技电子企业。N4Qednc

Thinkrace 是深圳市尚锐科技有限公司,3G ELECTRONICS 是深圳市三基同创电子有限公司,而 Shenzhen i365 Tech 从其官网展示信息线索看,关联的公司主体或为深圳市叁创新科技有限公司和深圳市叁陆伍物联科技有限公司。N4Qednc

本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
您可能感兴趣的文章
  • 拆解:智能手表内嵌双电源? 随着可穿戴电子产品市场的发展和成熟,不同的智能手表供应商(以及每个供应商的不同产品系列)正在采取不同的途径来实现差异化和所希望的成功。
  • OLED向照明、汽车和可穿戴设备进军 有机LED(OLED)现在已经普遍用于电视和手机屏幕,但OLED有望成为固态照明技术的下一个亮点,而且也可能在其他应用领域找到用武之地。在许多应用中,无机LED仍然具有经济和技术价值。但OLED具有无机LED缺乏的一些有趣特性,而且新的生产技术有望降低OLED的制造成本,使得它跟无机LED一样具成本优势。
  • 实现更好的USB-C电缆的故障检测设计方法 无线设备用户长期以来的首选就是能够快速充电。 同时,他们不愿担心与快速充电的较高功率水平相关的潜在危险。 带USB连接器的电缆最常用于这些充电应用。
  • 碾压iWatch 4,这款智能机芯可实现30天超长续航时间 运行平台MCU Apollo 3,超低功耗控制,使电池寿命也得到极大的延长,超越续航极限,碾压Apple watch Series 4续航18小时的极限,智芯H002一次充电可使用至少30天。
  • 工业可穿戴设备和AR:大胆创新计划还是新兴潜力市场? 近两年,在消费电子市场,可穿戴设备和增强现实(AR)技术一直备受关注。新的智能产品纷至沓来。谷歌眼镜等很多可穿戴设备也逐渐退却。商业市场还没有看到可穿戴消费品带来任何预期的拉动效应,也没有看到AR技术产生真正的吸引力。那么,可穿戴设备和AR技术在工业市场上进展又如何?
  • 联网医疗设备可能沦为谋杀工具? 美国前副总统Dick Cheney透露,心脏科医师担心他的心脏除颤器可能让恐怖份子有机可乘,甚至造成致命伤害,因而要求制造商关闭该设备的无线网络功能。在日益复杂的攻击压力下,联网医疗设备的安全问题正成为关注重点。
相关推荐
    广告
    近期热点
    广告
    广告
    广告
    可能感兴趣的话题
    广告