广告

外媒曝4700万台中国儿童智能手表存高危漏洞,产地多为深圳

2019-12-31 阅读:
外媒曝4700万台中国儿童智能手表存高危漏洞,产地多为深圳
据报道称,包括Techcrunch、Pen Test Partners、Rapid7、Avast等外媒和国外安全软件公司,近期相继曝出多家中国儿童智能手表供应商普遍存在安全防护漏洞问题,据估计,至少有4700万甚至更多数量的终端设备可能受此影响。
7gfednc

三家公司旗下都有一块相似的业务板块,即生产销售 GPS 跟踪器和智能穿戴,包括相关的软硬件开发解决方案,提供 OEM/ODM 服务,基于现成的产品技术方案,第三方经营者可以轻易地贴牌进行转卖销售,很多客户都在海外,包括北美和欧洲许多国家地区。7gfednc

7gfednc

图 | 一种现成的儿童智能手表的产品开发方案(来源:3G ELECTRONICS)7gfednc

Thinkrace 应该是三家公司中最大的一家。资料显示,该公司成立于 2006 年,专门从事智能穿戴设备、车联网等产品的设计、制造和整合行业解决方案,据悉每年能生产交付超过 300 万台物联网设备,还曾作为 2019 年世界夏季特奥会指定穿戴设备供应商。7gfednc

而据 Techcrunch 报道,很多 Thinkrace 生产或贴牌转售的设备,背后都关联到一个不安全的云平台上。7gfednc

Thinkrace 云平台的安全漏洞主要是因为云端 API 调用和加密的问题,没有采用 SSL 加密(一种为保护敏感数据在传送过程中的安全而设置的加密技术),暴露了一些密码和数据的明文传输漏洞,然后调用 API 的时候也没有做动态的校验。7gfednc

关于安全漏洞问题,DeepTech 联系到 Thinkrace 公司负责人唐日新(RickTang)。他回应称,目前在自己公司管控范畴内的安全漏洞其实都已经进行了排查修复。7gfednc

唐日新表示,现在的数据相关环节都已进行了加密和动态校验部署。比如采用了比较成熟的 Web API Token 方式,第三方想要调用数据需要申请一个 Token,且验证会有时间限制,对一些数据进行了安全保护的强化,如果验证超时则需要请求一个新的 Token 才能调用数据。7gfednc

7gfednc

图 | 一款儿童智能手表的内部构造(来源:Pen Test Partners)7gfednc

但这次安全漏洞的修复并不能完全覆盖所有 Thinkrace 之前生产的设备,原因是在云服务和软件开发层面,实际上有不少 Thinkrace 的第三方客户会自己去做开发,包括 APP、云服务和一些新增软件功能,Thinkrace 只提供了硬件设备的方案或产品制造,因此无法保障他们产品数据的安全性,这部分设备销售出去也不在其控制范围之内。7gfednc

另外,世界各国对于信息数据安全的标准和要求不同,很多欧洲客户不仅是要求保证 API 和云服务的安全。比如欧盟目前实施的 GDPR 通用数据保护条例,包括 Google 和 Facebook 等科技巨头都会时常遭到诉讼,动辄要面临数十亿欧元的罚款,欧美地区的法规监管相对会更严格一点。7gfednc

而数据安全漏洞不仅包括数据的传输环节,也涉及怎么使用数据,使用哪些类型的数据,使用数据的存活是多长时间,有没有向用户如实披露,用户能不能彻底清理数据,企业要用这些数据做什么事情等等,这些环节都存在用户数据被泄漏的风险。7gfednc

“我们不能保证每个客户都能按照 GDPR 的标准去执行落实,但在欧洲,我们会尽量协助客户一起去做好数据安全系统的完善。”唐日新说。7gfednc

笔者也尝试联系 Shenzhen i365 Tech 和 3G ELECTRONICS 等询问其安全漏洞相关解决措施,截至发稿前尚未收到回应,其安全问题可能仍未得到有效解决。7gfednc

产业链弊病仍难根除

据业内人士介绍,全球儿童智能手表大概有 90% 来自深圳,很多杂牌儿童智能手表的开发方案几乎没有什么技术门槛,堪称“地摊货”,尤其是在电子产品产业链完备的深圳地区,山寨小厂非常多,很多百元左右的智能手表硬件模块大多是由劣质甚至二手零件拼装,一只手表的成本最低只有十几元,背后的技术团队能力水平很低,数据安全根本无从谈起。7gfednc

此前,《焦点访谈》也曾选取市场上14款儿童智能手表测试,其中5款是比较安全的,其他9款有安全隐患,有安全隐患的儿童智能手表大多为“杂牌”厂家生产。7gfednc

有业内人士表示,在儿童智能手表市场需求持续上涨的大环境下,针对消费者普遍关心的定位安全、手表质量、数据泄露等核心问题上,还需行业标准尽快出台,以形成对企业的约束。7gfednc

7gfednc

图 | 深圳市关于儿童智能手表的指导文件(来源:深圳市市场和质量监督管理委员会)7gfednc

此前, 深圳市消费者委员会和深圳市品质消费研究院于2018年12月牵头制定了国内首个《儿童智能手表技术要求》团体标准,规范了儿童智能手表在机械性能、材料安全、电磁辐射、性能及可靠性等方面的要求,试图解决行业标准杂乱、山寨品牌横行、产业链运维质量差等乱象,但目前仍需结合多种政策手段进行推进。7gfednc

国内儿童智能手表目前只有极少品牌有实力配备完善的硬件、软件、ROM、云服务等高质量的运维开发团队,大部分杂牌儿童智能手表为了降低成本,都是使用的现成解决方案贴牌跑销量为主,包括手表的系统、APP 以及共用的服务器后台接入,如果源头厂商对安全性不够重视,下游市场必然安全漏洞百出,混乱一片。7gfednc

对于企业来说,儿童智能手表虽然是儿童产品,但绝不能以糊弄小孩的心态来做,做儿童智能产品,反而需要实施更严格和完备的产品安全标准,来为孩子们真正撑起一把保护伞。7gfednc

(来源:DeepTech深科技;责编:Demi Xia)7gfednc

本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 纳米供电集成电路可实现智能能耗 工业设计工程师希望提高楼宇的能源效率,以降低公用事业成本并减少碳足迹。为真正提高效率,设计师必须同时关注新建筑和现有楼宇,扩建以及运营和维护带来的持续上涨的成本。
  • 物联网设备面临的安全威胁分析 本文中的案例研究介绍了如何确定网络摄像头物联网设备的安全要求。顾名思义,这种设备已经实现互联,并广泛应用于众多应用,从简单的家庭网络摄像头到复杂的工业系统,不一而足。
  • 物联网开发板评测:梳理易犯错的细节 这款开发板上的蓝牙SoC,是基于Arm Cortex M3内核MCU,主要应用包括智能灯控、智能外设、智能玩具、电子标签、蓝牙语音遥控器。今天,EDN就带大家看一看这块板子包含哪些功能,以及最最重要的,在玩它的时候,可能遇到哪些问题。
  • 边缘设备能够展现多强的智能? 由于物联网的快速发展,以及实现物联网设备智能化所需算力和处理能力的提升,“边缘”一词的内涵可能更广,它可以指从“网关边缘”到“端点”的任何设备。那么业界对边缘与端点的定义是否达成了共识?谁需要边缘AI?边缘设备可以多智能?
  • 西甲联赛背后用到了哪些顶尖科技? 西甲联盟(LaLiga)在香港万丽海景酒店举办科技创新展示活动,展示了足球赛事直播背后一整套创新技术,例如360°回放、视频助理裁判(VAR)以及虚拟现实技术(VR)等等。
  • 3D ToF技术市场热度高居不下,系统级解决方案引爆新一轮 作为3D深度视觉领域三大主流方案之一,ToF技术除了应用在手机上之外,也在VR/AR手势交互、汽车电子ADAS、安防监控以及新零售等多个领域都开始大显身手,应用前景十分广阔。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了