安全研究人员发现了儿童廉价智能手表中的漏洞,使得陌生人可以凌驾于父母的控制之上,跟踪孩子。
据物联网技术的研究主管德莱尔·海兰称,总部位于波士顿的网络安全公司Rapid7Inc.在Amazon.com上购买了三只智能手表,售价从20美元到35美元不等。他说,这些型号–GreaSmart儿童智能手表、Jschild游戏智能手表和SmarTurtle儿童智能手表–是从亚马逊(Amazon)上随机挑选出来的,并在适合小学适龄儿童的情况下销售。
这三种设备都提供位置跟踪、消息传递和聊天功能。它们是在制造的,几乎共享几乎相同的硬件和软件。Rapid 7发现,他们也有类似的安全问题。
手表允许授权用户查看并更改配置细节,方法是直接向手表发送特定命令。在实践中,这是行不通的,“未列出的数字也可能与手表互动,”Rapid 7在一份报告中说。
这个安全问题可以通过供应商提供的固件更新来解决,但“鉴于这些设备的供应商很难定位,这种更新不太可能实现,”这家网络安全公司补充道。
研究人员称,这些手表的默认密码为“123456”,但其中一款手表的手册中没有提到密码。另一位在博客中提到密码,但没有在其印刷材料中提及。研究人员称,第三种方法并不将这些数字描述为密码,也没有给出如何修改密码的说明。
Rapid 7在其报告中说:“如果默认密码不变,并且没有短信过滤,掌握智能手表电话号码的攻击者就有可能完全控制设备,从而使用与合法用户(通常是父用户)相同权限的跟踪和语音聊天功能。”
海兰说,未经授权的用户可以关闭父母在智能手表上设置的所有安全协议。
Rapid 7表示,该公司的研究人员无法联系到这些手表的销售商,他们也认为这是一家名为3G电子公司的公司。该公司没有回复彭博新闻社(Bloomberg News)要求置评的消息。
Rapid 7称,GreaSmart儿童智能手表不再在亚马逊销售。GreaSmart,Jsbabe,SmarTurtle没有回复记者的置评请求。Oltec是一家在亚马逊上销售Smartle手表的商家,他没有回复通过亚马逊网站发送的信息。
Rapid 7在其报告中警告说:“那些关注物联网设备和相关云服务的安全、隐私和安全性的消费者,应该避免使用任何不是由清晰识别的供应商提供的技术,因为我们希望这是显而易见的原因。”