向右滑动:上一篇 向左滑动:下一篇 我知道了
广告

外媒曝4700万台中国儿童智能手表存高危漏洞,产地多为深圳

时间:2019-12-31 阅读:
据报道称,包括Techcrunch、Pen Test Partners、Rapid7、Avast等外媒和国外安全软件公司,近期相继曝出多家中国儿童智能手表供应商普遍存在安全防护漏洞问题,据估计,至少有4700万甚至更多数量的终端设备可能受此影响。
zTHednc

三家公司旗下都有一块相似的业务板块,即生产销售 GPS 跟踪器和智能穿戴,包括相关的软硬件开发解决方案,提供 OEM/ODM 服务,基于现成的产品技术方案,第三方经营者可以轻易地贴牌进行转卖销售,很多客户都在海外,包括北美和欧洲许多国家地区。zTHednc

zTHednc

图 | 一种现成的儿童智能手表的产品开发方案(来源:3G ELECTRONICS)zTHednc

Thinkrace 应该是三家公司中最大的一家。资料显示,该公司成立于 2006 年,专门从事智能穿戴设备、车联网等产品的设计、制造和整合行业解决方案,据悉每年能生产交付超过 300 万台物联网设备,还曾作为 2019 年世界夏季特奥会指定穿戴设备供应商。zTHednc

而据 Techcrunch 报道,很多 Thinkrace 生产或贴牌转售的设备,背后都关联到一个不安全的云平台上。zTHednc

Thinkrace 云平台的安全漏洞主要是因为云端 API 调用和加密的问题,没有采用 SSL 加密(一种为保护敏感数据在传送过程中的安全而设置的加密技术),暴露了一些密码和数据的明文传输漏洞,然后调用 API 的时候也没有做动态的校验。zTHednc

关于安全漏洞问题,DeepTech 联系到 Thinkrace 公司负责人唐日新(RickTang)。他回应称,目前在自己公司管控范畴内的安全漏洞其实都已经进行了排查修复。zTHednc

唐日新表示,现在的数据相关环节都已进行了加密和动态校验部署。比如采用了比较成熟的 Web API Token 方式,第三方想要调用数据需要申请一个 Token,且验证会有时间限制,对一些数据进行了安全保护的强化,如果验证超时则需要请求一个新的 Token 才能调用数据。zTHednc

zTHednc

图 | 一款儿童智能手表的内部构造(来源:Pen Test Partners)zTHednc

但这次安全漏洞的修复并不能完全覆盖所有 Thinkrace 之前生产的设备,原因是在云服务和软件开发层面,实际上有不少 Thinkrace 的第三方客户会自己去做开发,包括 APP、云服务和一些新增软件功能,Thinkrace 只提供了硬件设备的方案或产品制造,因此无法保障他们产品数据的安全性,这部分设备销售出去也不在其控制范围之内。zTHednc

另外,世界各国对于信息数据安全的标准和要求不同,很多欧洲客户不仅是要求保证 API 和云服务的安全。比如欧盟目前实施的 GDPR 通用数据保护条例,包括 Google 和 Facebook 等科技巨头都会时常遭到诉讼,动辄要面临数十亿欧元的罚款,欧美地区的法规监管相对会更严格一点。zTHednc

而数据安全漏洞不仅包括数据的传输环节,也涉及怎么使用数据,使用哪些类型的数据,使用数据的存活是多长时间,有没有向用户如实披露,用户能不能彻底清理数据,企业要用这些数据做什么事情等等,这些环节都存在用户数据被泄漏的风险。zTHednc

“我们不能保证每个客户都能按照 GDPR 的标准去执行落实,但在欧洲,我们会尽量协助客户一起去做好数据安全系统的完善。”唐日新说。zTHednc

笔者也尝试联系 Shenzhen i365 Tech 和 3G ELECTRONICS 等询问其安全漏洞相关解决措施,截至发稿前尚未收到回应,其安全问题可能仍未得到有效解决。zTHednc

产业链弊病仍难根除

据业内人士介绍,全球儿童智能手表大概有 90% 来自深圳,很多杂牌儿童智能手表的开发方案几乎没有什么技术门槛,堪称“地摊货”,尤其是在电子产品产业链完备的深圳地区,山寨小厂非常多,很多百元左右的智能手表硬件模块大多是由劣质甚至二手零件拼装,一只手表的成本最低只有十几元,背后的技术团队能力水平很低,数据安全根本无从谈起。zTHednc

此前,《焦点访谈》也曾选取市场上14款儿童智能手表测试,其中5款是比较安全的,其他9款有安全隐患,有安全隐患的儿童智能手表大多为“杂牌”厂家生产。zTHednc

有业内人士表示,在儿童智能手表市场需求持续上涨的大环境下,针对消费者普遍关心的定位安全、手表质量、数据泄露等核心问题上,还需行业标准尽快出台,以形成对企业的约束。zTHednc

zTHednc

图 | 深圳市关于儿童智能手表的指导文件(来源:深圳市市场和质量监督管理委员会)zTHednc

此前, 深圳市消费者委员会和深圳市品质消费研究院于2018年12月牵头制定了国内首个《儿童智能手表技术要求》团体标准,规范了儿童智能手表在机械性能、材料安全、电磁辐射、性能及可靠性等方面的要求,试图解决行业标准杂乱、山寨品牌横行、产业链运维质量差等乱象,但目前仍需结合多种政策手段进行推进。zTHednc

国内儿童智能手表目前只有极少品牌有实力配备完善的硬件、软件、ROM、云服务等高质量的运维开发团队,大部分杂牌儿童智能手表为了降低成本,都是使用的现成解决方案贴牌跑销量为主,包括手表的系统、APP 以及共用的服务器后台接入,如果源头厂商对安全性不够重视,下游市场必然安全漏洞百出,混乱一片。zTHednc

对于企业来说,儿童智能手表虽然是儿童产品,但绝不能以糊弄小孩的心态来做,做儿童智能产品,反而需要实施更严格和完备的产品安全标准,来为孩子们真正撑起一把保护伞。zTHednc

(来源:DeepTech深科技;责编:Demi Xia)zTHednc

本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
您可能感兴趣的文章
  • 拆解:智能手表内嵌双电源? 随着可穿戴电子产品市场的发展和成熟,不同的智能手表供应商(以及每个供应商的不同产品系列)正在采取不同的途径来实现差异化和所希望的成功。
  • OLED向照明、汽车和可穿戴设备进军 有机LED(OLED)现在已经普遍用于电视和手机屏幕,但OLED有望成为固态照明技术的下一个亮点,而且也可能在其他应用领域找到用武之地。在许多应用中,无机LED仍然具有经济和技术价值。但OLED具有无机LED缺乏的一些有趣特性,而且新的生产技术有望降低OLED的制造成本,使得它跟无机LED一样具成本优势。
  • 实现更好的USB-C电缆的故障检测设计方法 无线设备用户长期以来的首选就是能够快速充电。 同时,他们不愿担心与快速充电的较高功率水平相关的潜在危险。 带USB连接器的电缆最常用于这些充电应用。
  • 碾压iWatch 4,这款智能机芯可实现30天超长续航时间 运行平台MCU Apollo 3,超低功耗控制,使电池寿命也得到极大的延长,超越续航极限,碾压Apple watch Series 4续航18小时的极限,智芯H002一次充电可使用至少30天。
  • 工业可穿戴设备和AR:大胆创新计划还是新兴潜力市场? 近两年,在消费电子市场,可穿戴设备和增强现实(AR)技术一直备受关注。新的智能产品纷至沓来。谷歌眼镜等很多可穿戴设备也逐渐退却。商业市场还没有看到可穿戴消费品带来任何预期的拉动效应,也没有看到AR技术产生真正的吸引力。那么,可穿戴设备和AR技术在工业市场上进展又如何?
  • 联网医疗设备可能沦为谋杀工具? 美国前副总统Dick Cheney透露,心脏科医师担心他的心脏除颤器可能让恐怖份子有机可乘,甚至造成致命伤害,因而要求制造商关闭该设备的无线网络功能。在日益复杂的攻击压力下,联网医疗设备的安全问题正成为关注重点。
相关推荐
    广告
    近期热点
    广告
    广告
    广告
    可能感兴趣的话题
    广告