【編者按】對于企業(yè)來說����,兒童智能手表雖然是兒童產(chǎn)品,但絕不能以糊弄小孩的心態(tài)來做�,做兒童智能產(chǎn)品,反而需要實(shí)施更嚴(yán)格和完備的產(chǎn)品安全標(biāo)準(zhǔn)��,來為孩子們真正撐起一把保護(hù)傘��。
因一個(gè)定位追蹤數(shù)據(jù)庫的暴露����,僅通過一部智能手機(jī)的精準(zhǔn)定位數(shù)據(jù),短短幾分鐘內(nèi)���,美國總統(tǒng)特朗普的一舉一動(dòng)就被完全鎖定掌握�。《紐約時(shí)報(bào)》在 12 月 20
日刊出的《如何追蹤特朗普》一文���,披露了這份重磅級(jí)數(shù)據(jù)庫的存在���,內(nèi)含 1200 多萬美國人、500 億個(gè)定位信號(hào)����,其中包括很多美國名人、政要的定位信息���。
由此報(bào)道�����,位置數(shù)據(jù)的重要性可見一斑�。試想一下����,如果是你家孩子的實(shí)時(shí)定位信息被陌生人掌握,那該是多可怕的一件事?!
實(shí)際上�,一旦帶有定位追蹤功能的兒童智能手表存在安全漏洞��,這樣的事情并不遙遠(yuǎn)����。包括 Techcrunch����、Pen Test
Partners、Rapid7��、Avast 等外媒和國外安全軟件公司�����,近期相繼曝出多家中國兒童智能手表供應(yīng)商普遍存在安全防護(hù)漏洞問題��,據(jù)估計(jì)���,至少有 4700
萬甚至更多數(shù)量的終端設(shè)備可能受此影響。
黑客基于這些安全漏洞不僅能檢索或改變兒童的實(shí)時(shí) GPS
位置�,還可以給他們打電話和或悄悄監(jiān)視孩子的活動(dòng)范圍,或者從不安全的云端捕獲到基于設(shè)備的通話音頻文件�。
這給兒童智能產(chǎn)品市場敲響了一記警鐘,本來想省心的你是否買到了不靠譜的兒童智能手表?
用戶信息在什么環(huán)節(jié)被泄漏了?
具備定位追蹤功能的兒童智能手表工作原理其實(shí)很簡單�����,很多元器件在市面上十分常見且價(jià)格不貴。手表內(nèi)的主板 SOC 模組集成了提供位置的 GPS
模塊���,以及向設(shè)備提供 GPRS 數(shù)據(jù)傳輸 + SMS 短信功能的 SIM 卡模塊���。
對兒童智能手表的 SIM 卡或物聯(lián)網(wǎng)卡進(jìn)行激活,綁定其他手機(jī)設(shè)備和 APP
程序后就能進(jìn)行數(shù)據(jù)傳輸�,家長在手機(jī)上打開相匹配的應(yīng)用,就能實(shí)時(shí)得到孩子的位置信息��。
定位基本原理(來源 Avast)
而常見的漏洞便是出現(xiàn)在設(shè)備聯(lián)網(wǎng)之后各項(xiàng)涉及用戶數(shù)據(jù)的交互環(huán)節(jié)����,比如用戶注冊登陸過程、與設(shè)備關(guān)聯(lián)的 Web
網(wǎng)頁和管理站點(diǎn)�、移動(dòng)應(yīng)用程序和云之間的通信量,以及 GPS 與云之間的 GPRS 通信量等��。
智能手表 GPS 跟蹤器的典型數(shù)據(jù)傳輸結(jié)構(gòu)(來源 Avast)
安全軟件公司 AVAST Software 通過檢測 Shenzhen i365 Tech 產(chǎn)品相關(guān)的 Web 應(yīng)用程序發(fā)現(xiàn)��,所有的請求都是純文本的標(biāo)準(zhǔn)
JSONAjax(一種輕量級(jí)的數(shù)據(jù)交換格式)請求�����,且所有請求都是未加密和明文的,傳輸信息附帶指定的 ID 號(hào)和默認(rèn)密碼
123456�����,更值得關(guān)注的是黑客基于這些漏洞可以向設(shè)備發(fā)出指令����,除了能獲得 GPS 坐標(biāo),可能還有更 “黑” 的操作:
Web 應(yīng)用程序 Ajax 請求(來源 Avast)
比如可以讓兒童智能手表撥打存儲(chǔ)名單中的任意電話號(hào)碼�,一旦連接上,就可以監(jiān)聽到用戶的語音數(shù)據(jù)�,而用戶卻不知情;可以激發(fā)設(shè)備 SOS
模式,發(fā)送短信給所有號(hào)碼�,進(jìn)而使用 SMS(短信服務(wù))作為攻擊矢量;甚至可以發(fā)送一個(gè) URL 的更新固件允許在設(shè)備上安裝新固件����,植入一些木馬程序。
登陸包和指令請求傳輸過程中的各類數(shù)據(jù)信息,涉及 ID���、密碼等用戶敏感信息已打碼(來源 Avast)
利用這些漏洞�����,黑客可以輕而易舉地發(fā)動(dòng)“MITM
攻擊”(中間人攻擊���,一種間接的入侵攻擊方式),通過把黑客控制的一臺(tái)計(jì)算機(jī)虛擬放置在網(wǎng)絡(luò)連接中的兩臺(tái)通信計(jì)算機(jī)之間�,結(jié)合用于來回發(fā)送數(shù)據(jù)的不安全協(xié)議,黑客可以使用標(biāo)準(zhǔn)
IP 工具攻擊捕獲所有用戶數(shù)據(jù)���。
黑客攻擊的方式(來源 Avast)
有用戶調(diào)侃��,對于這些劣質(zhì)的兒童智能手表�,定位不精準(zhǔn)或許成了最大優(yōu)點(diǎn),最起碼被黑客截取信息后��,也不能準(zhǔn)確找到孩子的位置和行蹤���。
三家被點(diǎn)名的中國公司
被外媒和安全公司披露存在安全漏洞的三家公司分別為Thinkrace�、Shenzhen i365 Tech�、3G
ELECTRONICS,經(jīng)查證工商資料��,三家都是深圳地區(qū)的科技電子企業(yè)�。
Thinkrace 是深圳市尚銳科技有限公司,3G ELECTRONICS 是深圳市三基同創(chuàng)電子有限公司�,而 Shenzhen i365 Tech
從其官網(wǎng)展示信息線索看,關(guān)聯(lián)的公司主體或?yàn)樯钲谑腥?chuàng)新科技有限公司和深圳市叁陸伍物聯(lián)科技有限公司�����。
三家公司旗下都有一塊相似的業(yè)務(wù)板塊�,即生產(chǎn)銷售 GPS 跟蹤器和智能穿戴���,包括相關(guān)的軟硬件開發(fā)解決方案��,提供 OEM/ODM
服務(wù)�����,基于現(xiàn)成的產(chǎn)品技術(shù)方案��,第三方經(jīng)營者可以輕易地貼牌進(jìn)行轉(zhuǎn)賣銷售���,很多客戶都在海外����,包括北美和歐洲許多國家地區(qū)����。
一種現(xiàn)成的兒童智能手表的產(chǎn)品開發(fā)方案(來源:3G ELECTRONICS)
Thinkrace 應(yīng)該是三家公司中最大的一家。資料顯示���,該公司成立于 2006
年�����,專門從事智能穿戴設(shè)備�����、車聯(lián)網(wǎng)等產(chǎn)品的設(shè)計(jì)�、制造和整合行業(yè)解決方案,據(jù)悉每年能生產(chǎn)交付超過 300 萬臺(tái)物聯(lián)網(wǎng)設(shè)備�����,還曾作為 2019
年世界夏季特奧會(huì)指定穿戴設(shè)備供應(yīng)商�����。
而據(jù) Techcrunch 報(bào)道��,很多 Thinkrace 生產(chǎn)或貼牌轉(zhuǎn)售的設(shè)備�,背后都關(guān)聯(lián)到一個(gè)不安全的云平臺(tái)上。
Thinkrace 云平臺(tái)的安全漏洞主要是因?yàn)樵贫?API 調(diào)用和加密的問題�,沒有采用 SSL
加密(一種為保護(hù)敏感數(shù)據(jù)在傳送過程中的安全而設(shè)置的加密技術(shù)),暴露了一些密碼和數(shù)據(jù)的明文傳輸漏洞���,然后調(diào)用 API 的時(shí)候也沒有做動(dòng)態(tài)的校驗(yàn)��。
關(guān)于安全漏洞問題�,DeepTech 聯(lián)系到 Thinkrace
公司負(fù)責(zé)人唐日新(RickTang)�����。他回應(yīng)稱���,目前在自己公司管控范疇內(nèi)的安全漏洞其實(shí)都已經(jīng)進(jìn)行了排查修復(fù)�。
唐日新表示��,現(xiàn)在的數(shù)據(jù)相關(guān)環(huán)節(jié)都已進(jìn)行了加密和動(dòng)態(tài)校驗(yàn)部署���。比如采用了比較成熟的 Web API Token 方式����,第三方想要調(diào)用數(shù)據(jù)需要申請一個(gè)
Token���,且驗(yàn)證會(huì)有時(shí)間限制�,對一些數(shù)據(jù)進(jìn)行了安全保護(hù)的強(qiáng)化�,如果驗(yàn)證超時(shí)則需要請求一個(gè)新的 Token 才能調(diào)用數(shù)據(jù)。
一款兒童智能手表的內(nèi)部構(gòu)造(來源:Pen Test Partners)
但這次安全漏洞的修復(fù)并不能完全覆蓋所有 Thinkrace 之前生產(chǎn)的設(shè)備�,原因是在云服務(wù)和軟件開發(fā)層面,實(shí)際上有不少 Thinkrace
的第三方客戶會(huì)自己去做開發(fā)�����,包括 APP�����、云服務(wù)和一些新增軟件功能,Thinkrace
只提供了硬件設(shè)備的方案或產(chǎn)品制造�,因此無法保障他們產(chǎn)品數(shù)據(jù)的安全性,這部分設(shè)備銷售出去也不在其控制范圍之內(nèi)�。
另外,世界各國對于信息數(shù)據(jù)安全的標(biāo)準(zhǔn)和要求不同���,很多歐洲客戶不僅是要求保證 API 和云服務(wù)的安全����。比如歐盟目前實(shí)施的 GDPR 通用數(shù)據(jù)保護(hù)條例�����,包括
Google 和 Facebook 等科技巨頭都會(huì)時(shí)常遭到訴訟�,動(dòng)輒要面臨數(shù)十億歐元的罰款,歐美地區(qū)的法規(guī)監(jiān)管相對會(huì)更嚴(yán)格一點(diǎn)���。
而數(shù)據(jù)安全漏洞不僅包括數(shù)據(jù)的傳輸環(huán)節(jié)�,也涉及怎么使用數(shù)據(jù)��,使用哪些類型的數(shù)據(jù),使用數(shù)據(jù)的存活是多長時(shí)間�����,有沒有向用戶如實(shí)披露���,用戶能不能徹底清理數(shù)據(jù),企業(yè)要用這些數(shù)據(jù)做什么事情等等�����,這些環(huán)節(jié)都存在用戶數(shù)據(jù)被泄漏的風(fēng)險(xiǎn)��。
“我們不能保證每個(gè)客戶都能按照 GDPR 的標(biāo)準(zhǔn)去執(zhí)行落實(shí)����,但在歐洲,我們會(huì)盡量協(xié)助客戶一起去做好數(shù)據(jù)安全系統(tǒng)的完善�。”唐日新說���。
DeepTech 也嘗試聯(lián)系 Shenzhen i365 Tech 和 3G ELECTRONICS
等詢問其安全漏洞相關(guān)解決措施����,截至發(fā)稿前尚未收到回應(yīng)���,其安全問題可能仍未得到有效解決�����。
產(chǎn)業(yè)鏈弊病仍難根除
據(jù)業(yè)內(nèi)人士介紹��,全球兒童智能手表大概有 90%
來自深圳�,很多雜牌兒童智能手表的開發(fā)方案幾乎沒有什么技術(shù)門檻,堪稱“地?cái)傌洝?���,尤其是在電子產(chǎn)品產(chǎn)業(yè)鏈完備的深圳地區(qū),山寨小廠非常多�����,很多百元左右的智能手表硬件模塊大多是由劣質(zhì)甚至二手零件拼裝����,一只手表的成本最低只有十幾元,背后的技術(shù)團(tuán)隊(duì)能力水平很低�,數(shù)據(jù)安全根本無從談起。
深圳市關(guān)于兒童智能手表的指導(dǎo)文件(來源:深圳市市場和質(zhì)量監(jiān)督管理委員會(huì))
2018 年 5
月���,深圳市消委會(huì)曾牽頭編制發(fā)布《深圳市兒童智能手表標(biāo)準(zhǔn)化技術(shù)文件》團(tuán)體標(biāo)準(zhǔn)���,試圖從產(chǎn)業(yè)鏈層面解決行業(yè)無標(biāo)準(zhǔn)����、無監(jiān)管以及山寨雜牌橫行的亂象��,文件里概括性提到了在終端��、客戶端�、安全管理平臺(tái)�����、數(shù)據(jù)傳輸?shù)葘用娴男畔踩?,但關(guān)于這些安全要求細(xì)則怎么真正落實(shí)到相關(guān)企業(yè),形成最好的治理效果仍需結(jié)合多種政策手段進(jìn)行推進(jìn)�。
國內(nèi)兒童智能手表目前只有極少品牌有實(shí)力配備完善的硬件、軟件���、ROM�����、云服務(wù)等高質(zhì)量的運(yùn)維開發(fā)團(tuán)隊(duì)��,大部分雜牌兒童智能手表為了降低成本�,都是使用的現(xiàn)成解決方案貼牌跑銷量為主,包括手表的系統(tǒng)�、APP
以及共用的服務(wù)器后臺(tái)接入,如果源頭廠商對安全性不夠重視�����,下游市場必然安全漏洞百出���,混亂一片��。
對于企業(yè)來說��,兒童智能手表雖然是兒童產(chǎn)品����,但絕不能以糊弄小孩的心態(tài)來做�,做兒童智能產(chǎn)品,反而需要實(shí)施更嚴(yán)格和完備的產(chǎn)品安全標(biāo)準(zhǔn)��,來為孩子們真正撐起一把保護(hù)傘���。
