日韩欧美2区本道在线,欧美日产一区二区不卡视频,亚洲成人一级毛片

兒童電話手表被曝存在安全漏洞泄露用戶隱私

網(wǎng)友投稿2022-06-12 07:45:02

　　2015年開始，陸續(xù)有白帽黑客在國(guó)內(nèi)安全平臺(tái)烏云上曝光兒童安全手表的相關(guān)漏洞，漏洞的主要根源在廠家的服務(wù)器上。目前的兒童智能手機(jī)所有信息都在后臺(tái)服務(wù)器上，攻擊者利用漏洞查詢智能手表連接的服務(wù)器，就可以查看到客戶信息，并根據(jù)相應(yīng) ID 直接查看孩子的地理位置、實(shí)時(shí)監(jiān)控孩子的地理坐標(biāo)、日?；顒?dòng)軌跡及環(huán)境錄音等隱私內(nèi)容。　　不少兒童電話手表品牌并沒有對(duì)驗(yàn)證碼的輸入次數(shù)作限制，任何人都可以進(jìn)行無限次的輸入。四位數(shù)的驗(yàn)證碼，最多只需要電腦輸入9萬多次，就能試出來，一旦試出來，就可以進(jìn)行密碼重置了。黑客在十分鐘內(nèi)就能試出100多個(gè)密碼來。　　2015 年曝光的問題兒童手表　　平安星兒童電話手表　　網(wǎng)曝漏洞問題：平安星兒童電話手表可以枚舉所有設(shè)備并可修改任意賬號(hào)密碼　　危害等級(jí)：高　　漏洞類型：權(quán)限等級(jí)繞過　　漏洞標(biāo)簽：認(rèn)證設(shè)計(jì)不合理　　一米陽(yáng)光兒童智能手表　　網(wǎng)曝漏洞問題：一米陽(yáng)光兒童智能手表綁定流程沒有進(jìn)行任何校驗(yàn)，根據(jù)已知的序列號(hào)，可以直接猜測(cè)其他有效的手表序列號(hào)，就可以直接綁定其他兒童。　　危害等級(jí)：高　　漏洞類型：非授權(quán)訪問　　漏洞標(biāo)簽：未授權(quán)訪問　　開咪兒童電話手表　　網(wǎng)曝漏洞問題：開咪兒童電話手表可以導(dǎo)致部分新用戶無法使用，導(dǎo)致拒絕服務(wù)攻擊　　危害等級(jí)：中　　漏洞類型：非授權(quán)訪問　　漏洞狀態(tài)：未聯(lián)系到廠商或者廠商積極忽略　　漏洞標(biāo)簽：未授權(quán)訪問　　下面鑒定一下是不是確有其事。　　定位　　家長(zhǎng)的手機(jī)號(hào)碼跟自己孩子的兒童電話手表都是綁定的。黑客只需要知道家長(zhǎng)的手機(jī)號(hào)，就能通過這個(gè)手機(jī)號(hào)碼倒推出兒童電話手表的 ID 號(hào)。　　黑客只需要知道家長(zhǎng)的手機(jī)號(hào)，就能通過這個(gè)手機(jī)號(hào)推出兒童電話手表的ID號(hào)。　　每個(gè)兒童電話手表的 ID 號(hào)都是唯一的，獲得 ID 號(hào)碼后，直接輸入攻擊程序，就可以攻擊這個(gè)兒童電話手表了。李某在一段攻擊程序里寫入了自己事先準(zhǔn)備的一塊兒童電話手表 ID 號(hào)，再實(shí)施攻擊，很快，電腦屏幕上就出現(xiàn)了這塊兒童電話手表所在的經(jīng)度和緯度數(shù)字。將經(jīng)度和緯度輸入百度地圖，很快就顯示出了這塊手表所在的精確位置。　　監(jiān)聽在悄悄地發(fā)生　　李某重新設(shè)置了一個(gè)攻擊程序，將記者的手機(jī)號(hào)輸入到程序中。通過程序控制智能手機(jī)進(jìn)行撥出，撥打被監(jiān)聽對(duì)象的電話，一接聽，就可以聽到兒童電話手表這邊的一切聲音。被攻擊的兒童電話手表一直是處于黑屏狀態(tài)。記者拿著手機(jī)走到室外接通電話，就和普通打電話一樣，非常清晰地聽到室內(nèi)的一切聲音。　　后臺(tái)修改通訊錄號(hào)碼　　李某通過后臺(tái)服務(wù)器，拿到這塊手表的通訊錄，再通過攻擊軟件，對(duì)通訊錄上的電話號(hào)碼進(jìn)行修改，然后再上傳回服務(wù)器。很快，他用自己的手機(jī)向這塊兒童電話手表進(jìn)行撥號(hào)，兒童電話手表屏幕上就清晰顯示出 " 爸爸 " 的字樣。從孩子的角度，他看到的是爸爸來的電話，但實(shí)際上，這個(gè)號(hào)碼根本不是他爸爸的號(hào)碼了。不難想象，如果現(xiàn)實(shí)中孩子真的接到這樣的電話，對(duì)電話那頭的陌生人肯定無形間就會(huì)產(chǎn)生很大的信任感，甚至可能發(fā)生孩子被人帶走的悲劇。　　控制兒童電話手表為何這么容易？　　對(duì)兒童電話手表的控制為什么這么容易？這是因?yàn)楦鲝S商在普通手表增加聯(lián)網(wǎng)功能后，通過后臺(tái)服務(wù)器作為樞紐，將家長(zhǎng)手機(jī)和孩子的手表聯(lián)系了起來。一些廠商將兒童電話手表最為關(guān)鍵的一塊服務(wù)內(nèi)容外包給其他服務(wù)商，安全性存疑。黑客將服務(wù)器作為節(jié)點(diǎn)進(jìn)行攻擊，服務(wù)器薄弱的廠商則很容易受到控制。很多兒童電話手表只對(duì)手機(jī)端進(jìn)行了身份確認(rèn)，首次登錄時(shí)都需要輸入登錄密碼等，但沒有對(duì)手表端進(jìn)行身份保護(hù)，所以就存在可乘之機(jī)。　　修補(bǔ)安全漏洞的技術(shù)門檻并不高　　只要有一些網(wǎng)絡(luò)開發(fā)經(jīng)驗(yàn)的研發(fā)人員，就能修補(bǔ)這款產(chǎn)品的安全漏洞。但從目前來看，國(guó)家并沒有在網(wǎng)絡(luò)安全這塊設(shè)置詳細(xì)的標(biāo)準(zhǔn)要求，如果廠商僅僅重視用戶體驗(yàn)來?yè)屨际袌?chǎng)、而忽略了產(chǎn)品的安全設(shè)計(jì)和開發(fā)，增加的網(wǎng)絡(luò)控制功能就可能成為惡意攻擊者利用的通道，泄露個(gè)人信息在所難免。不過，購(gòu)買了兒童電話手表的家長(zhǎng)，在設(shè)置密碼時(shí)可以做好充足的自我保護(hù)，設(shè)置具有一定長(zhǎng)度，含有特殊字符的密碼；要及時(shí)對(duì)兒童電話手表的 APP 進(jìn)行更新，有些更新可能就是發(fā)現(xiàn)了漏洞，如果不及時(shí)更新，很有可能就被人鉆空子。　　廠家回應(yīng) 　　記者近日撥通了開咪兒童電話手表生產(chǎn)廠家的電話，對(duì)方回應(yīng)：對(duì)網(wǎng)曝漏洞這一情況有所了解。但這并不屬于安全漏洞，而是一個(gè)安全保障。用戶必須在手表里面裝一個(gè)流量卡，才能上網(wǎng)進(jìn)行綁定。如果已經(jīng)有一個(gè)用戶綁定了，那其他用戶就綁定不進(jìn)去了。只要存在用戶買了新手表，但綁定不上的問題，可以第一時(shí)間撥打客服電話，客服人工查證是綁定了誰的號(hào)碼，確認(rèn)是誰在使用這個(gè)號(hào)碼。如果確認(rèn)了不是購(gòu)買機(jī)主的手表，該廠家會(huì)立刻解綁，這對(duì)用戶來說，其實(shí)是一個(gè)很好的安全保障。　　記者撥打另外兩家公司的電話，接通后，當(dāng)記者表示想要了解技術(shù)漏洞的問題后，對(duì)方均掛掉了電話，未作回應(yīng)。　　我是迅維網(wǎng)的編輯：hcrt，負(fù)責(zé)“網(wǎng)絡(luò)”“手機(jī)”“工具”“發(fā)現(xiàn)”“口碑”“觀點(diǎn)”欄目的編輯工作，開啟投稿與下載分互換模式。多多投稿與支持!　　聯(lián)系方式：QQ1669528969 郵?[email?protected]/* */