总部位于波士顿的网络安全研究人员 Rapid7称,在亚马逊上出售的专为儿童设计的廉价智能手表存在一些严重缺陷,可能会让陌生人追踪戴着智能手表的孩子并与之交谈。
Tod Beardsley表示:“了解智能手表电话号码的攻击者可能会完全控制设备,因此可以使用具有与合法用户(通常是父母)相同的权限的跟踪和语音聊天功能。” Rapid7的研究主管在报告中说。
这些儿童智能手表具有GPS和语音聊天功能,与智能手机相比,它们的价格低廉,价格在20美元至35美元之间,功能有限以及易于使用,使其成为希望了解孩子所在位置或无需智能手机与他们交流的父母的热门选择。
但是Rapid7的发现表明,智能手表上的安全措施通常无效,而且许多措施根本无效。
安全漏洞对儿童的人身安全存在隐患
监护人可以远程更改孩子的智能手表设置的一种方法是通过向设备发送文本消息。但是为了防止陌生人更改设置,可以设置某些预先批准的号码的列表。但是Rapid7表示,这种安全措施(白名单)是“即使在最佳情况下也无法控制”。
Rapid7发现白名单对谁可以更改智能手表的设置没有影响。任何人,甚至那些不在预先批准的列表中的人,都可以向这些智能手表之一发送文本消息来更改其设置。
Beardsley写道:“实际上,这种过滤器似乎根本没有任何作用,未列出的数字也可能与手表相互作用。
另一个缺陷包括智能手表的默认密码。Rapid7发现,智能手表的手册几乎没有关于默认密码以及如何更改密码的信息。由于这一障碍,用户不太可能更改默认密码,这使得想要访问智能手表的任何人都可以轻松获得控制权。
受测试的智能手表均源自中国
Rapid7测试过的智能手表包括儿童智能手表,Jsbaby Game Smart Watch和SmarTurtle Kid的智能手表。它们似乎都是中国公司3G Electronics制造的带有白色标签的商标。Rapid7仅测试了在亚马逊上出售的各种廉价儿童智能手表中的三款,因此其他型号也可能存在相同的缺陷。
儿童智能手表仍在亚马逊上列出,但“目前不可用”。
Jsbaby Game Smart Watch仍可在亚马逊上以$ 33的价格购买。
SmarTurtle儿童智能手表仍以20美元的价格出售。
Rapid7的建议是坚持“可明确识别的供应商”。本质上,如果消费者不认识该品牌,就不要追求它。
截止截稿前亚马逊未回复媒体的置评请求。
相关文章
