因一个定位追寻数据库的露出,仅经过一部智能手机的精准定位数据,短短几分钟内,美国总统特朗普的一举一动就被完全确定把握。《纽约时报》在 12 月 20 日注销的《怎样追寻特朗普》一文,发表了这份重磅级数据库的存在,内含 1200 多万美国人、500 亿个定位信号,这中心还包含许多美国名人、政要的定位信息。
由此报导,方位数据的重要性可见一斑。试想一下,假如是你家孩子的实时定位信息被陌生人把握,那该是多可怕的一件事?!
实践上,一旦带有定位追寻功用的儿童智能手表存在安全缝隙,这样的作业并不悠远。包含 Techcrunch、Pen Test Partners、Rapid7、Avast 等外媒和国外安全软件公司,近期相继曝出多家我国儿童智能手表供货商普遍存在安全防护缝隙问题,据估计,至少有 4700 万乃至更多数量的终端设备或许受此影响。
图 | 儿童智能手表(来历:Rapid7)
黑客根据这些安全缝隙不只能检索或改动儿童的实时 GPS 方位,还能够给他们打电话和或悄然监督孩子的活动规模,或许从不安全的云端捕获到根据设备的通话音频文件。
这给儿童智能产品商场敲响了一记警钟,本来想省心的你是否买到了不靠谱的儿童智能手表?
用户个人信息在什么环节被走漏了?
具有定位追寻功用的儿童智能手表作业原理其实很简单,许多元器件在市面上十分常见且价格不贵。手表内的主板 SOC 模组集成了供给方位的 GPS 模块,以及向设备供给 GPRS 数据传输 + SMS 短信功用的 SIM 卡模块。
对儿童智能手表的 SIM 卡或物联网卡进行激活,绑定其他手机设备和 APP 程序后就能进行数据传输,家长在手机上翻开相匹配的运用,就能实时得到孩子的方位信息。
图 | 定位基本原理(来历 Avast)
而常见的缝隙就是出现在设备联网之后各项触及用户数据的交互环节,比方用户注册登陆进程、与设备相关的 Web 网页和办理站点、移动运用程序和云之间的通讯量,以及 GPS 与云之间的 GPRS 通讯量等。
图 | 智能手表 GPS 跟踪器的典型数据传输结构(来历 Avast)
安全软件公司 AVAST Software 经过检测 Shenzhen i365 Tech 产品相关的 Web 运用程序发现,一切的恳求都是纯文本的规范 JSONAjax(一种轻量级的数据交换格局)恳求,且一切恳求都是未加密和明文的,传输信息顺便指定的 ID 号和默许暗码 123456,更值得注重的是黑客根据这些缝隙能够向设备宣布指令,除了能取得 GPS 坐标,或许还有更 “黑” 的操作:
图 | Web 运用程序 Ajax 恳求(来历 Avast)
比方能够让儿童智能手表拨打存储名单中的恣意电话号码,一旦连接上,就能够监听到用户的语音数据,而用户却不知情;能够激起设备 SOS 形式,发送短信给一切号码,从而运用 SMS(短信服务)作为进犯矢量;还能够发送一个 URL 的更新固件答应在设备上装置新固件,植入一些木马程序。
图 | 登陆包和指令恳求传输进程中的各类数据信息,触及 ID、暗码等用户灵敏信息已打码(来历 Avast)
运用这些缝隙,黑客能够垂手可得地发起“MITM 进犯”(中心人进犯,一种直接的侵略进犯方法),经过把黑客操控的一台计算机虚拟放置在网络连接中的两台通讯计算机之间,结合用于来回发送数据的不安全协议,黑客能够正常的运用规范 IP 东西进犯捕获一切用户数据。
图 | 黑客进犯的方法(来历 Avast)
有用户戏弄,关于这些残次的儿童智能手表,定位不精准或许成了最大长处,最起码被黑客截取信息后,也不能精确找到孩子的方位和行迹。
三家被点名的我国公司
被外媒和安全公司发表存在安全缝隙的三家公司分别为 Thinkrace、Shenzhen i365 Tech、3G ELECTRONICS,经查验工商材料,三家都是深圳区域的科技电子企业。
Thinkrace 是深圳市尚锐科技有限公司,3G ELECTRonICS 是深圳市三基同创电子有限公司,而 Shenzhen i365 Tech 从其官网展现信息头绪看,相关的公司主体或为深圳市叁立异科技有限公司和深圳市叁陆伍物联科技有限公司。
三家公司旗下都有一块类似的事务板块,即出产出售 GPS 跟踪器和智能穿戴,包含相关的软硬件开发处理计划,供给 OEM/ODM 服务,根据现成的产品技能计划,第三方经营者能够轻易地贴牌进行转卖出售,许多客户都在海外,包含北美和欧洲许多国家区域。
图 | 一种现成的儿童智能手表的产品开发计划(来历:3G ELECTRONICS)
Thinkrace 应该是三家公司中最大的一家。材料显现,该公司成立于 2006 年,专门从事智能穿戴设备、车联网等产品的规划、制作和整合职业处理计划,据悉每年能出产交给超越 300 万台物联网设备,还曾作为 2019 年国际夏日特奥会指定穿戴设备供货商。
而据 Techcrunch 报导,许多 Thinkrace 出产或贴牌转售的设备,背面都相关到一个不安全的云渠道上。
Thinkrace 云渠道的安全缝隙还在于云端 API 调用和加密的问题,没有选用 SSL 加密(一种为维护灵敏数据在传送进程中的安全而设置的加密技能),露出了一些暗码和数据的明文传输缝隙,然后调用 API 的时分也没有做动态的校验。
关于安全缝隙问题,DeepTech 联络到 Thinkrace 公司负责人唐日新(RickTang)。他回应称,现在在自己公司管控领域内的安全缝隙其实都现已进行了排查修正。
唐日新表明,现在的数据相关环节都已进行了加密和动态校验布置。比方选用了比较老练的 Web API Token 方法,第三方想要调用数据需求恳求一个 Token,且验证会有时刻约束,对一些数据进行了安全维护的强化,假如验证超时则需求恳求一个新的 Token 才干调用数据。
图 | 一款儿童智能手表的内部结构(来历:Pen Test Partners)
但这次安全缝隙的修正并不能完全掩盖一切 Thinkrace 之前出产的设备,原因是在云服务和软件开发层面,实践上有不少 Thinkrace 的第三方客户会自己去做开发,包含 APP、云服务和一些新增软件功用,Thinkrace 只供给了硬件设备的计划或产品制作,因而无法确保他们产品数据的安全性,这部分设备出售出去也不在其操控规模之内。
别的,国际各国关于信息数据安全的规范和要求不同,许多欧洲客户不只是要求确保 API 和云服务的安全。比方欧盟现在施行的 GDPR 通用数据维护法令,包含 Google 和 Facebook 等科技巨子都会经常遭到诉讼,动辄要面对数十亿欧元的罚款,欧美区域的法规监管相对会更严厉一点。
而数据安全缝隙不只包含数据的传输环节,也触及怎样运用数据,运用哪些类型的数据,运用数据的存活是多长时刻,有没有向用户照实发表,用户能不能完全整理数据,企业要用这些数据做什么作业等等,这些环节都存在用户数据被走漏的危险。
“咱们不能确保每个客户都能依照 GDPR 的规范去履行执行,但在欧洲,咱们会尽量帮忙客户一同去做好数据安全体系的完善。”唐日新说。
DeepTech 也测验联络 Shenzhen i365 Tech 和 3G ELECTRonICS 等问询其安全缝隙相关处理办法,到发稿前没有收到回应,其安全问题或许仍未得到有用处理。
产业链弊端仍难铲除
据业内人士介绍,全球儿童智能手表大概有 90% 来自深圳,许多杂牌儿童智能手表的开发计划基本上没有什么技能门槛,可谓“地摊货”,尤其是在电子科技类产品产业链齐备的深圳区域,山寨小厂十分多,许多百元左右的智能手表硬件模块大多是由残次乃至二手零件组装,一只手表的本钱最低只要十几元,背面的技能团队才能水平很低,数据安全底子无从谈起。
图 | 深圳市关于儿童智能手表的辅导文件(来历:深圳市商场和质量监督办理委员会)
2018 年 5 月,深圳市消委会曾牵头编制发布《深圳市儿童智能手表规范化技能文件》集体规范,企图从产业链层面处理职业无规范、无监管以及山寨杂牌横行的乱象,文件里概括性提到了在终端、客户端、安全办理渠道、数据传输等层面的信息安全要求,但关于这些安全要求细则怎样真实执行到相关企业,构成最好的管理作用仍需结合多种方针手法进行推动。
国内儿童智能手表现在只要很少品牌有实力装备完善的硬件、软件、ROM、云服务等高质量的运维开发团队,大部分杂牌儿童智能手表为了削减相关本钱,都是运用的现成处理计划贴牌跑销量为主,包含手表的体系、APP 以及共用的服务器后台接入,假如源头厂商对安全性不行注重,下流商场必定安全缝隙百出,紊乱一片。
关于企业来说,儿童智能手表虽然是儿童产品,但绝不能以欺骗小孩的心态来做,做儿童智能产品,反而需求施行更严厉和齐备的产品安全规范,来为孩子们真实撑起一把维护伞。
-End-
