深圳制造商i365生产的多款儿童手表和追踪器被发现存在弱密码和明文传输
现在越来越多的家长选择给儿童购买智能手表,这些智能手表多数都可以接打电话以及实时追踪儿童的位置等等。
然而儿童的行踪应该只有父母知道不应该被他人进行追踪,否则不法分子借机追踪儿童位置可能会造成人身伤害。
因此在选择儿童智能手表时最重要的不是外观和功能而是安全性,为人父母切不可在出现安全问题后才后悔莫及。
i365 T8S Mini 追踪器
安全公司 AVAST 发布的最新报告显示,深圳制造商叁陆伍物联科技生产的多款儿童智能手表存在严重安全问题。
研究发现该公司出售的多款儿童智能手表使用123456 这种弱密码,同时每款儿童智能手表均有单独的数字编号。
安全研究人员继续分析发现这些儿童智能手表通过明文传输将数据实时回传到服务器,再由服务器转发给客户端。
提供配套移动应用程序客户端下载的网站也是明文传输的,这意味着攻击者可以从多个途径进行中间人劫持攻击。
由于采用明文传输因此攻击者可以非常轻易的进行中间人攻击,然后可以用来获取智能手表的实时全球定位信息。
而这些儿童智能手表的固件存在设计缺陷,攻击者还可以伪造信息开启麦克风监听儿童或者监听其所在的环境等。
例如当儿童在家时或者智能手表放在家里充电时,攻击者均可开启麦克风将家庭环境中的所有声音上传到服务器。
购买使用上述制造商儿童智能手表的家长朋友们现在没有任何理由再继续给儿童佩戴这类可泄露信息的智能手表。
在 AVAST 发布这份安全研究报告前已经通过多个渠道多次联系深圳市叁陆伍物联科技公司但没有获得任何回应。
长时间没有回应后已经超过安全公司设立的披露期限,因此 AVAST 现在决定公开漏洞提醒用户停止佩戴该手表。
此外在谷歌和苹果的应用商店里这些智能手表配套应用程序「爱贝乐」也收到无数家长们朋友的各种各样的差评。
稍微好点的是从评价来看这些手表定位信息准确度非常差,所以假如有黑客在利用漏洞估计也没法获得准确位置。