广告

外媒曝4700万台中国儿童智能手表存高危漏洞,产地多为深圳

2019-12-31 阅读:
外媒曝4700万台中国儿童智能手表存高危漏洞,产地多为深圳
据报道称,包括Techcrunch、Pen Test Partners、Rapid7、Avast等外媒和国外安全软件公司,近期相继曝出多家中国儿童智能手表供应商普遍存在安全防护漏洞问题,据估计,至少有4700万甚至更多数量的终端设备可能受此影响。

《纽约时报》在 12 月 20 日刊出的《如何追踪特朗普》一文,文中披露了一个定位追踪数据库的暴露,并指出,仅通过一部智能手机的精准定位数据,短短几分钟内,美国总统特朗普的一举一动就被完全锁定掌握。据称,这份重磅级数据库内含 1200 多万美国人、500 亿个定位信号,其中包括很多美国名人、政要的定位信息。CYWednc

就在昨日,据DeepTech深科技报道称,实际上,一旦带有定位追踪功能的儿童智能手表存在安全漏洞,这样的事情并不遥远。CYWednc

包括Techcrunch、Pen Test Partners、Rapid7、Avast等外媒和国外安全软件公司,近期相继曝出多家中国儿童智能手表供应商普遍存在安全防护漏洞问题,据估计,至少有4700万甚至更多数量的终端设备可能受此影响。据了解,黑客基于安全漏洞不仅能查看佩戴者实时GPS位置,还可以进行语音通话,抑或是从不安全的云端捕获基于设备的通话音频文件。CYWednc

用户信息在什么环节被泄漏了?

具备定位追踪功能的儿童智能手表工作原理其实很简单,很多元器件在市面上十分常见且价格不贵。手表内的主板 SOC 模组集成了提供位置的 GPS 模块,以及向设备提供 GPRS 数据传输 + SMS 短信功能的 SIM 卡模块。CYWednc

对儿童智能手表的 SIM 卡或物联网卡进行激活,绑定其他手机设备和 APP 程序后就能进行数据传输,家长在手机上打开相匹配的应用,就能实时得到孩子的位置信息。CYWednc

CYWednc

图 | 定位基本原理(来源 Avast)CYWednc

而常见的漏洞便是出现在设备联网之后各项涉及用户数据的交互环节,比如用户注册登陆过程、与设备关联的 Web 网页和管理站点、移动应用程序和云之间的通信量,以及 GPS 与云之间的 GPRS 通信量等。CYWednc

CYWednc

图 | 智能手表 GPS 跟踪器的典型数据传输结构(来源 Avast)CYWednc

安全软件公司 AVAST Software 通过检测 Shenzhen i365 Tech 产品相关的 Web 应用程序发现,所有的请求都是纯文本的标准 JSONAjax(一种轻量级的数据交换格式)请求,且所有请求都是未加密和明文的,传输信息附带指定的 ID 号和默认密码 123456,更值得关注的是黑客基于这些漏洞可以向设备发出指令,除了能获得 GPS 坐标,可能还有更 “黑” 的操作:CYWednc

CYWednc

图 | Web 应用程序 Ajax 请求(来源 Avast)CYWednc

比如可以让儿童智能手表拨打存储名单中的任意电话号码,一旦连接上,就可以监听到用户的语音数据,而用户却不知情;可以激发设备 SOS 模式,发送短信给所有号码,进而使用 SMS(短信服务)作为攻击矢量;甚至可以发送一个 URL 的更新固件允许在设备上安装新固件,植入一些木马程序。CYWednc

CYWednc

CYWednc

图 | 登陆包和指令请求传输过程中的各类数据信息,涉及 ID、密码等用户敏感信息已打码(来源 Avast)CYWednc

利用这些漏洞,黑客可以轻而易举地发动“MITM 攻击”(中间人攻击,一种间接的入侵攻击方式),通过把黑客控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,结合用于来回发送数据的不安全协议,黑客可以使用标准 IP 工具攻击捕获所有用户数据。CYWednc

CYWednc

图 | 黑客攻击的方式(来源 Avast)CYWednc

有用户调侃,对于这些劣质的儿童智能手表,定位不精准或许成了最大优点,最起码被黑客截取信息后,也不能准确找到孩子的位置和行踪。CYWednc

三家被点名的中国公司均来自深圳

上述被外媒和安全公司披露存在安全漏洞的三家公司分别为 Thinkrace、Shenzhen i365 Tech、3G ELECTRONICS,经查证工商资料,三家都是深圳地区的科技电子企业。CYWednc

Thinkrace 是深圳市尚锐科技有限公司,3G ELECTRONICS 是深圳市三基同创电子有限公司,而 Shenzhen i365 Tech 从其官网展示信息线索看,关联的公司主体或为深圳市叁创新科技有限公司和深圳市叁陆伍物联科技有限公司。CYWednc

本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 物联网设备面临的安全威胁分析 本文中的案例研究介绍了如何确定网络摄像头物联网设备的安全要求。顾名思义,这种设备已经实现互联,并广泛应用于众多应用,从简单的家庭网络摄像头到复杂的工业系统,不一而足。
  • 物联网开发板评测:梳理易犯错的细节 这款开发板上的蓝牙SoC,是基于Arm Cortex M3内核MCU,主要应用包括智能灯控、智能外设、智能玩具、电子标签、蓝牙语音遥控器。今天,EDN就带大家看一看这块板子包含哪些功能,以及最最重要的,在玩它的时候,可能遇到哪些问题。
  • 边缘设备能够展现多强的智能? 由于物联网的快速发展,以及实现物联网设备智能化所需算力和处理能力的提升,“边缘”一词的内涵可能更广,它可以指从“网关边缘”到“端点”的任何设备。那么业界对边缘与端点的定义是否达成了共识?谁需要边缘AI?边缘设备可以多智能?
  • 西甲联赛背后用到了哪些顶尖科技? 西甲联盟(LaLiga)在香港万丽海景酒店举办科技创新展示活动,展示了足球赛事直播背后一整套创新技术,例如360°回放、视频助理裁判(VAR)以及虚拟现实技术(VR)等等。
  • 3D ToF技术市场热度高居不下,系统级解决方案引爆新一轮 作为3D深度视觉领域三大主流方案之一,ToF技术除了应用在手机上之外,也在VR/AR手势交互、汽车电子ADAS、安防监控以及新零售等多个领域都开始大显身手,应用前景十分广阔。
  • OLED向照明、汽车和可穿戴设备进军 有机LED(OLED)现在已经普遍用于电视和手机屏幕,但OLED有望成为固态照明技术的下一个亮点,而且也可能在其他应用领域找到用武之地。在许多应用中,无机LED仍然具有经济和技术价值。但OLED具有无机LED缺乏的一些有趣特性,而且新的生产技术有望降低OLED的制造成本,使得它跟无机LED一样具成本优势。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了