广告

外媒曝4700万台中国儿童智能手表存高危漏洞,产地多为深圳

2019-12-31 11:33:14 阅读:
据报道称,包括Techcrunch、Pen Test Partners、Rapid7、Avast等外媒和国外安全软件公司,近期相继曝出多家中国儿童智能手表供应商普遍存在安全防护漏洞问题,据估计,至少有4700万甚至更多数量的终端设备可能受此影响。

《纽约时报》在 12 月 20 日刊出的《如何追踪特朗普》一文,文中披露了一个定位追踪数据库的暴露,并指出,仅通过一部智能手机的精准定位数据,短短几分钟内,美国总统特朗普的一举一动就被完全锁定掌握。据称,这份重磅级数据库内含 1200 多万美国人、500 亿个定位信号,其中包括很多美国名人、政要的定位信息。3Trednc

就在昨日,据DeepTech深科技报道称,实际上,一旦带有定位追踪功能的儿童智能手表存在安全漏洞,这样的事情并不遥远。3Trednc

包括Techcrunch、Pen Test Partners、Rapid7、Avast等外媒和国外安全软件公司,近期相继曝出多家中国儿童智能手表供应商普遍存在安全防护漏洞问题,据估计,至少有4700万甚至更多数量的终端设备可能受此影响。据了解,黑客基于安全漏洞不仅能查看佩戴者实时GPS位置,还可以进行语音通话,抑或是从不安全的云端捕获基于设备的通话音频文件。3Trednc

用户信息在什么环节被泄漏了?

具备定位追踪功能的儿童智能手表工作原理其实很简单,很多元器件在市面上十分常见且价格不贵。手表内的主板 SOC 模组集成了提供位置的 GPS 模块,以及向设备提供 GPRS 数据传输 + SMS 短信功能的 SIM 卡模块。3Trednc

对儿童智能手表的 SIM 卡或物联网卡进行激活,绑定其他手机设备和 APP 程序后就能进行数据传输,家长在手机上打开相匹配的应用,就能实时得到孩子的位置信息。3Trednc

3Trednc

图 | 定位基本原理(来源 Avast)3Trednc

而常见的漏洞便是出现在设备联网之后各项涉及用户数据的交互环节,比如用户注册登陆过程、与设备关联的 Web 网页和管理站点、移动应用程序和云之间的通信量,以及 GPS 与云之间的 GPRS 通信量等。3Trednc

3Trednc

图 | 智能手表 GPS 跟踪器的典型数据传输结构(来源 Avast)3Trednc

安全软件公司 AVAST Software 通过检测 Shenzhen i365 Tech 产品相关的 Web 应用程序发现,所有的请求都是纯文本的标准 JSONAjax(一种轻量级的数据交换格式)请求,且所有请求都是未加密和明文的,传输信息附带指定的 ID 号和默认密码 123456,更值得关注的是黑客基于这些漏洞可以向设备发出指令,除了能获得 GPS 坐标,可能还有更 “黑” 的操作:3Trednc

3Trednc

图 | Web 应用程序 Ajax 请求(来源 Avast)3Trednc

比如可以让儿童智能手表拨打存储名单中的任意电话号码,一旦连接上,就可以监听到用户的语音数据,而用户却不知情;可以激发设备 SOS 模式,发送短信给所有号码,进而使用 SMS(短信服务)作为攻击矢量;甚至可以发送一个 URL 的更新固件允许在设备上安装新固件,植入一些木马程序。3Trednc

3Trednc

3Trednc

图 | 登陆包和指令请求传输过程中的各类数据信息,涉及 ID、密码等用户敏感信息已打码(来源 Avast)3Trednc

利用这些漏洞,黑客可以轻而易举地发动“MITM 攻击”(中间人攻击,一种间接的入侵攻击方式),通过把黑客控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,结合用于来回发送数据的不安全协议,黑客可以使用标准 IP 工具攻击捕获所有用户数据。3Trednc

3Trednc

图 | 黑客攻击的方式(来源 Avast)3Trednc

有用户调侃,对于这些劣质的儿童智能手表,定位不精准或许成了最大优点,最起码被黑客截取信息后,也不能准确找到孩子的位置和行踪。3Trednc

三家被点名的中国公司均来自深圳

上述被外媒和安全公司披露存在安全漏洞的三家公司分别为 Thinkrace、Shenzhen i365 Tech、3G ELECTRONICS,经查证工商资料,三家都是深圳地区的科技电子企业。3Trednc

Thinkrace 是深圳市尚锐科技有限公司,3G ELECTRONICS 是深圳市三基同创电子有限公司,而 Shenzhen i365 Tech 从其官网展示信息线索看,关联的公司主体或为深圳市叁创新科技有限公司和深圳市叁陆伍物联科技有限公司。3Trednc

  • 赚快钱
  • 深圳三基同创,深圳研强科技
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 【闯关答题抽奖】英飞凌无线电力传输方案中心上线啦~ 每闯关成功一关获得一次抽奖机会,总共4关,最多可获得4次抽奖机会。
  • 商务部暂停天然砂对台湾地区出口,台积电难受了 据EDN电子技术设计了解,商务部网站8月3日早晨8点发布最新消息,表示将从即日起暂停天然砂对台湾地区出口。不少网友认为暂停天然砂对台湾地区的出口,此举将严重影响台湾的建筑业,实则影响不仅仅如此。台湾地区天然砂进口量的90%以上来自大陆,而台湾芯片占台湾2021年出口额的34.8%。网友称商务部暂停天然砂对台湾地区出口是捏到了台湾半导体制造业的七寸。
  • 波兰网友拆德国产电源插排,内部竟是中国制造?! 本文将会介绍LogiLink LPS262U电源插排(接线板)——包含三个USB端口和两个Schuko插座——的内部结构及其简短测试。
  • 华盛顿大学首创用人体热能为可穿戴电子设备供电 从健康和健身追踪器到虚拟现实设备,可穿戴电子产品已成为我们日常生活的一部分,但找到持续为这些设备供电的方法是一项挑战。华盛顿大学的研究人员开发了一种创新的解决方案:首创的柔性、可穿戴热电设备,可将体热转化为电能。
  • 深圳允许完全自动驾驶车辆上路,主驾无需坐人 据EDN电子技术设计引援央视财经报道,从8月1日开始,《深圳经济特区智能网联汽车管理条例》正式实施,智能网联汽车列入国家汽车产品目录或者深圳市智能网联汽车产品目录,这也让深圳成为了国内首个允许L3级别自动驾驶车辆合法上路的城市。
  • 理想ONE高速起火烧成光架,其1.2T三缸增程器曾被指隐藏 近期,网络平台上发布了一段理想ONE在行驶过程中,车辆出现起火的视频内容。现场拍摄的灭火后图片显示,该轿车过火后仅剩骨架,车辆前部增程器位置受损严重,车辆尾门已经在过火后从车身主体脱落。此前,曾有国内汽车媒体对一台行驶了10万公里的理想ONE的东安1.2T三缸增程发动机进行拆解,被指隐藏暗病。
  • 上海微系统所使用石墨烯纳米带研制出世界上最小尺寸的 非易失性相变随机存取存储器(PCRAM)被认为是大数据时代新兴海量存储的有希望的候选者之一。然而,相对较高的编程能量阻碍了 PCRAM 中功耗的进一步降低。利用石墨烯的窄边接触可以有效降低每个电池中相变材料的活性体积,从而实现低功耗运行。
  • 可解决工业自动化和IIoT挑战的MCU 工业自动化和工业物联网(IIoT)设计人员的性能要求不断变化。就MCU而言,他们希望获得更快的处理速度、更多的内存、更好的连接性和更多的安全功能。
  • 我国建成开通5G基站数达185.4万个 工信部近日透露,截至2022年6月底,中国5G基站数达到185.4万个,其中二季度新增基站近30万个,已建成全球规模最大、技术领先的网络基础设施,实现“县县通5G、村村通宽带”。。
  • Nothing Phone 1 官方承认品控缺陷,但拆解后有新发现 前一加手机联合创始人裴宇创立的 Nothing 公司在国外备受关注,但Nothing Phone 1发布之后却被网友爆料大量翻车现场。目前官方也已承认了Nothing Phone 1 在前摄开孔位置附近出现了坏点或绿晕的问题。但Nothing Phone 1也并非一无是处,著名的 JerryRigEverything 耐用性测试就称其“超级坚固”。
  • 苹果发布2022财年第三财季业绩,营收829.59亿美元 Apple 今日公布了 2022 年第三财季的财务业绩。报告显示,苹果公司第三财季公布收入为 829.59亿美元,去年同期为 814 亿美元,同比增长2%;季度净利润为 194 .4亿美元,去年同期为217 亿美元,同比下降10.6%;其中,iPhone带来的营收406.7亿美元,同比增长3%。
  • 工程师开发出可以看到身体内部的贴纸 麻省理工学院的工程师设计了一种贴片,可以产生身体的超声图像。这种邮票大小的设备贴在皮肤上,可以提供 48 小时内脏器官的连续超声成像。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了