工程師用手機(jī)向兒童電話手表進(jìn)行撥號(hào),，兒童電話手表屏幕上清晰顯示出“爸爸”的字樣,。

黑客只需要知道家長(zhǎng)的手機(jī)號(hào),，就能通過(guò)這個(gè)手機(jī)號(hào)碼倒推出兒童電話手表的ID號(hào),。

很多兒童電話手表只對(duì)手機(jī)端進(jìn)行了身份確認(rèn),。

日漸流行的兒童電話手表大多被冠以“智能”頭銜,，以“安全”,、“便捷”作為產(chǎn)品的最大賣點(diǎn),。這兩年,，兒童電話手表因?yàn)橛卸ㄎ缓屯ㄔ挼墓δ?，受到廣大父母的青睞。大部分家長(zhǎng)給孩子購(gòu)買兒童電話手表的初衷是為了獲得一份安全感,，那么這樣的一塊手表真的能帶給孩子安全嗎,？

從去年開(kāi)始，多款兒童電話手表的相關(guān)漏洞,，被白帽黑客陸續(xù)公布在國(guó)內(nèi)安全平臺(tái)烏云上,，漏洞的主要根源在廠家的服務(wù)器上,。這些漏洞真的存在嗎？如果發(fā)現(xiàn)兒童電話手表存在安全漏洞,，家長(zhǎng)們又該如何進(jìn)行安全預(yù)防,？3月14日上午，南都鑒定走進(jìn)工業(yè)和信息化部電子第五研究所賽寶質(zhì)量安全檢測(cè)中心,，對(duì)兒童電話手表可能存在的安全漏洞進(jìn)行實(shí)測(cè)驗(yàn)證,。

鑒定由頭

班里近半小學(xué)生都買了電話手表

當(dāng)下的各款兒童電話手表的功能不少，不僅能打電話,、發(fā)微信,，還有實(shí)時(shí)定位以及監(jiān)聽(tīng)功能。使用起來(lái)也很簡(jiǎn)單,，買一張電話卡放入智能手表,，然后通過(guò)手機(jī)下載一個(gè)跟手表匹配的A PP之后，家長(zhǎng)的手機(jī)和孩子的智能手表就可實(shí)現(xiàn)綁定,。目前,，這種兒童電話手表賣得挺火。廣州市很多小學(xué)的班級(jí)里,，幾乎有一半學(xué)生都購(gòu)買了不同款的兒童電話手表,。

“目前國(guó)家對(duì)于兒童電話手表等智能穿戴設(shè)備還沒(méi)有統(tǒng)一的規(guī)范，這類產(chǎn)品在信息安全方面的質(zhì)量參差不齊”,。工業(yè)和信息化部電子第五研究所賽寶質(zhì)量安全檢測(cè)中心信息安全工程師李樂(lè)言說(shuō),，從去年開(kāi)始，就陸續(xù)有白帽黑客在國(guó)內(nèi)安全平臺(tái)烏云上,，曝光了兒童安全手表的相關(guān)漏洞,，漏洞的主要根源在廠家的服務(wù)器上?！艾F(xiàn)在的兒童智能手機(jī)所有信息其實(shí)都在后臺(tái)服務(wù)器上,，攻擊者可利用漏洞查詢智能手表連接的服務(wù)器，就可以查看到客戶信息,，并根據(jù)相應(yīng)ID直接查看孩子的地理位置,、實(shí)時(shí)監(jiān)控孩子的地理坐標(biāo)、日?；顒?dòng)軌跡及環(huán)境錄音等隱私內(nèi)容,。”

后臺(tái)服務(wù)器是漏洞根源驗(yàn)證碼輸入次數(shù)無(wú)限制

鑒定君隨即登錄了這一網(wǎng)站,，通過(guò)搜索引擎,，就可以輕松搜索到不少兒童電話手表品牌存在安全漏洞的信息，其中包括任意用戶密碼重置,、無(wú)登錄防控等諸多方面,。“用戶密碼任意重置,，就是說(shuō)以忘記密碼的方式,，重置你的密碼，這樣你的用戶號(hào)碼完全就可以變成我的,?！崩顦?lè)言說(shuō)，不少兒童電話手表品牌并沒(méi)有對(duì)驗(yàn)證碼的輸入次數(shù)進(jìn)行限制,，任何人都可以進(jìn)行無(wú)限次的輸入,。“四位數(shù)的驗(yàn)證碼,，最多只需要電腦輸入9萬(wàn)多次,，就能試出來(lái)，一旦試出來(lái),，就可以進(jìn)行密碼重置了,。”此外,，用戶在進(jìn)行登錄時(shí),，后臺(tái)服務(wù)器也并沒(méi)有一個(gè)登錄防控功能，只是單向認(rèn)證,?！昂诳驮谑昼妰?nèi)就能試出100多個(gè)密碼來(lái)?！?/p>

“其實(shí)修補(bǔ)安全漏洞的技術(shù)門(mén)檻并不高,，只要有一些網(wǎng)絡(luò)開(kāi)發(fā)經(jīng)驗(yàn)的研發(fā)人員就能做到。只要生產(chǎn)方重視,，避免這樣的安全漏洞是可以實(shí)現(xiàn)的,。”李樂(lè)言表示,，但從目前來(lái)看,，國(guó)家并沒(méi)有在網(wǎng)絡(luò)安全這塊設(shè)置詳細(xì)的標(biāo)準(zhǔn)要求，如果廠商僅僅重視用戶體驗(yàn)來(lái)?yè)屨际袌?chǎng),、而忽略了產(chǎn)品的安全設(shè)計(jì)和開(kāi)發(fā),，增加的網(wǎng)絡(luò)控制功能就可能成為惡意攻擊者利用的通道，泄露個(gè)人信息在所難免,。