研究人員發現在亞馬遜上出售的兒童廉價智能手錶存在安全漏洞
“亞馬遜出售的一些智能手錶的安全漏洞可能會讓陌生人追踪孩子”,2019年12月11日
安全研究人員在兒童廉價智能手錶中發現了漏洞,使陌生人有可能超越父母的控制並追踪孩子。
總部位於波士頓的網絡安全公司Rapid7 Inc. 在亞馬遜網站上從數十種針對學齡兒童進行營銷的智能手錶中隨機挑選及購買了三款,價格從20美元到35美元不等。
這三款手錶都提供位置跟踪,消息傳遞和聊天功能。它們在中國製造,並且共享幾乎相同的硬件和軟件。 Rapid7發現,它們也有類似的安全問題。
手錶允許授權用戶通過直接發送某些命令來查看和更改配置詳細信息。 Rapid7在一份報告中說,這實際上是行不通的,“未列出的號碼也可能與手錶發生相互作用。”
網絡安全公司補充說,可以通過供應商提供的固件更新來解決此安全問題,但是“鑑於這些設備的供應商很難或不可能找到,這樣的更新不太可能實現”。
“鑑於默認密碼不變,並且缺少SMS過濾功能,了解智能手錶電話號碼的攻擊者有可能完全控制設備,因此可以使用具有與合法用戶(通常是父母)相同權限的跟踪和語音聊天功能用戶,” Rapid7在其報告中說...
Rapid7表示,其研究人員無法與賣家聯繫,也無法與手錶製造商聯繫。這家中國公司名為3g電子公司(3g Electronics Co)。該公司未回應彭博新聞社的置評要求。
Rapid7表示,GreaSmart Children's SmartWatch不再在亞馬遜上出售。 GreaSmart,Jsbaby和SmarTurtle沒有回復置評請求。在Amazon上銷售SmarTurtle手錶的商人Oltec沒有回复通過Amazon網站發送的消息…