前瞻网|黑客可随意窃听,真“窃听风云”!最新研究发现儿童手表存在漏洞


前瞻网|黑客可随意窃听,真“窃听风云”!最新研究发现儿童手表存在漏洞
文章图片
将生活中的每一个可能的设备连接到网络 , 虽然会带来便利 , 但风险也总是如影随形 。 尤其是涉及到儿童手腕上的智能手表时 , 这种风险就更加让人担忧 。 多年以来 , 安全人员对这些设备存在的风险发出过多次警告 , 但最新研究结果表明 , 其中一些风险仍然存在 , 非常容易被黑客滥用 。
在8月下旬发表的一篇论文中 , 德国达姆施塔特应用科技大学(MuumlnsterUniversityofAppliedSciences)的研究人员详细介绍了他们对六种儿童智能手表的安全性测试 。
这些测试手表的功能主要是用于儿童发送和接收语音和文字信息 , 父母也可通过手机程序定位和追踪孩子的位置 。 测试结果显示 , 这些功能可能会被黑客入侵并滥用 。
黑客可以冒充父母向儿童发送语音和短信 , 拦截父母和孩子之间的通信 , 甚至记录孩子周围的音频并进行窃听 。
研究小组将发现的风险提交给了相应厂商 , 但截至目前 , 这些风险还没有完全修复 。
对儿童智能手表安全性的研究已经开展了许多 , 此前 , 挪威消费者保护机构也开展了调查 , 并发现了类似的问题 , 欧盟委员会去年甚至召回了一款以儿童为主要目标的智能手表 。 但是 , 达姆施塔特的研究人员惊讶地发现 , 这些产品依然漏洞百出 。
在受测试的六款手表中 , 研究人员发现 , 有四款手表在与服务器的通信中没有加密或认证 , 服务器将信息发送到父母的智能手机应用程序 , 并从其接收信息 。
与智能手机一样 , 每个智能手表都有一个唯一的设备标识符 , 称为IMEI码 。 如果研究人员可以确定目标儿童的IMEI , 或者简单地随机选择一个 , 他们就可以控制智能手表与服务器之间的通信 , 从而向服务器汇报错误的儿童位置 , 或者冒充目标儿童向服务器发送音频消息 。
【前瞻网|黑客可随意窃听,真“窃听风云”!最新研究发现儿童手表存在漏洞】最令人不安的是 , 研究人员表示黑客还可以冒充服务器服务器向智能手表发送命令 , 启动手表周围环境的音频记录 , 并将其转发给黑客 。
此外 , 这些手表使用的服务器还存在多种常见形式的安全漏洞 , 可向SQL数据库输入包含恶意命令的数据 。 滥用这些缺陷可能会让黑客获得对用户数据的广泛访问权限权限 。
除了后台服务器的漏洞外 , 这些手表自身也存在许多问题 , 其中一款缺乏身份认证 。 这种漏洞与服务器漏洞不同 , 虽然黑客不能冒充身份发送信息 , 但却可以拦截 。
编译/前瞻经济学人APP资讯组
原文出处:
https://www.wired.com/story/kid-smartwatch-security-vulnerabilities/
https://vpnoverview.com/news/smartwatches-for-children-still-a-security-nightmare/