尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
因一個定位追蹤數據庫的暴露,僅通過一部智慧型手機的精準定位數據,短短幾分鐘內,美國總統特朗普的一舉一動就被完全鎖定掌握。《紐約時報》在 12 月 20 日刊出的《如何追蹤特朗普》一文,披露了這份重磅級數據庫的存在,內含 1200 多萬美國人、500 億個定位信號,其中包括很多美國名人、政要的定位信息。
由此報導,位置數據的重要性可見一斑。 試想一下,如果是你家孩子的實時定位信息被陌生人掌握,那該是多可怕的一件事?!
實際上,一旦帶有定位追蹤功能的兒童智能手表存在安全漏洞,這樣的事情並不遙遠。包括 Techcrunch、Pen Test Partners、Rapid7、Avast 等外媒和國外安全軟件公司, 近期相繼曝出多家中國兒童智能手表供應商普遍存在安全防護漏洞問題,據可能,至少有 4700 萬甚至更多數量的終端設備可能受此影響 。
圖 | 兒童智能手表(來源:Rapid7)
黑客基於這些安全漏洞不僅能檢索或改變兒童的實時 GPS 位置,還可以給他們打電話和或悄悄監視孩子的活動範圍,或者從不安全的雲端捕獲到基於設備的通話音頻文件。
這給兒童智能產品市場敲響了一記警鐘,本來想省心的你是否買到了不靠譜的兒童智能手表?
用戶信息在什麼環節被泄漏了?
具備定位追蹤功能的兒童智能手表工作原理其實很簡單,很多元器件在市面上十分常見且價格不貴。手表內的主板 SOC 模組集成了提供位置的 GPS 模塊,以及向設備提供 GPRS 數據傳輸 + SMS 簡訊功能的 SIM 卡模塊。
對兒童智能手表的 SIM 卡或物聯網卡進行激活,綁定其他手機設備和 APP 程序後就能進行數據傳輸,家長在手機上打開相匹配的應用,就能實時得到孩子的位置信息。
圖 | 定位基本原理(來源 Avast)
而常見的漏洞便是出現在設備聯網之後各項涉及用戶數據的交互環節,比如用戶註冊登陸過程、與設備關聯的 Web 網頁和管理站點、移動應用程序和雲之間的通信量,以及 GPS 與雲之間的 GPRS 通信量等。
圖 | 智能手表 GPS 跟蹤器的典型數據傳輸結構(來源 Avast)
安全軟件公司 AVAST Software 通過檢測 Shenzhen i365 Tech 產品相關的 Web 應用程序發現,所有的請求都是純文本的標準 JSONAjax(一種輕量級的數據交換格式)請求,且所有請求都是未加密和明文的,傳輸信息附帶指定的 ID 號和默認密碼 123456,更值得關注的是黑客基於這些漏洞可以向設備發出指令, 除了能獲得 GPS 坐標,可能還有更 「黑」 的操作:
圖 | Web 應用程序 Ajax 請求(來源 Avast)
比如可以讓兒童智能手表撥打存儲名單中的任意電話號碼,一旦連接上,就可以 監聽到用戶的語音數據,而用戶卻不知情 ;可以激發設備 SOS 模式,發送簡訊給所有號碼,進而使用 SMS(簡訊服務)作為攻擊矢量;甚至可以發送一個 URL 的更新固件允許在設備上安裝新固件, 植入一些木馬程序 。
圖 | 登陸包和指令請求傳輸過程中的各類數據信息,涉及 ID、密碼等用戶敏感信息已打碼(來源 Avast)
利用這些漏洞,黑客可以輕而易舉地發動「MITM 攻擊」 (中間人攻擊,一種間接的入侵攻擊方式),通過把黑客控制的一台計算機虛擬放置在網路連接中的兩台通信計算機之間,結合用於來回發送數據的不安全協議,黑客可以使用標準 IP 工具攻擊捕獲所有用戶數據。
圖 | 黑客攻擊的方式(來源 Avast)
有用戶調侃,對於這些劣質的兒童智能手表,定位不精準或許成了最大優點,最起碼被黑客截取信息後,也不能準確找到孩子的位置和行蹤。
三家被點名的中國公司
被外媒和安全公司披露存在安全漏洞的三家公司分別為 Thinkrace、Shenzhen i365 Tech、3G ELECTRONICS ,經查證工商資料,三家都是深圳地區的科技電子企業。
Thinkrace 是深圳市尚銳科技有限公司 ,3G ELECTRONICS 是深圳市三基同創電子有限公司,而 Shenzhen i365 Tech 從其官網展示信息線索看,關聯的公司主體可能為深圳市叁創新科技有限公司和深圳市叁陸伍物聯科技有限公司。
三家公司旗下都有一塊相似的業務板塊,即生產銷售 GPS 跟蹤器和智能穿戴,包括相關的軟硬件開發解決方案,提供 OEM/ODM 服務,基於現成的產品技術方案,第三方經營者可以輕易地貼牌進行轉賣銷售,很多客戶都在海外,包括北美和歐洲許多國家地區。
圖 | 一種現成的兒童智能手表的產品開發方案(來源:3G ELECTRONICS)
Thinkrace 應該是三家公司中最大的一家。 資料顯示,該公司成立於 2006 年,專門從事智能穿戴設備、車聯網等產品的設計、製造和整合行業解決方案,據悉每年能生產交付超過 300 萬台物聯網設備,還曾作為 2019 年世界夏季特奧會指定穿戴設備供應商。
而據 Techcrunch 報導,很多 Thinkrace 生產或貼牌轉售的設備,背後都關聯到一個不安全的雲平台上。
Thinkrace 雲平台的安全漏洞主要是因為雲端 API 調用和加密的問題,沒有採用 SSL 加密 (一種為保護敏感數據在傳送過程中的安全而設置的加密技術),暴露了一些密碼和數據的明文傳輸漏洞,然後調用 API 的時候也沒有做動態的校驗。
關於安全漏洞問題,DeepTech 聯繫到 Thinkrace 公司負責人唐日新(RickTang)。 他回應稱,目前在自己公司管控范疇內的安全漏洞其實都已經進行了排查修復。
唐日新表示,現在的數據相關環節都已進行了加密和動態校驗部署。比如採用了比較成熟的 Web API Token 方式,第三方想要調用數據需要申請一個 Token,且驗證會有時間限制,對一些數據進行了安全保護的強化,如果驗證超時則需要請求一個新的 Token 才能調用數據。
圖 | 一款兒童智能手表的內部構造(來源:Pen Test Partners)
但這次安全漏洞的修復並不能完全覆蓋所有 Thinkrace 之前生產的設備,原因是在雲服務和軟件開發層面,實際上有不少 Thinkrace 的第三方客戶會自己去做開發,包括 APP、雲服務和一些新增軟件功能, Thinkrace 只提供了硬件設備的方案或產品製造,因此無法保障他們產品數據的安全性,這部分設備銷售出去也不在其控制範圍之內。
另外,世界各國對於信息數據安全的標準和要求不同,很多歐洲客戶不僅是要求保證 API 和雲服務的安全。比如歐盟目前實施的 GDPR 通用數據保護條例,包括 Google 和 Facebook 等科技巨頭都會時常遭到訴訟,動輒要面臨數十億歐元的罰款,歐美地區的法規監管相對會更嚴格一點。
而數據安全漏洞不僅包括數據的傳輸環節,也涉及怎麼使用數據,使用哪些類型的數據,使用數據的存活是多長時間,有沒有向用戶如實披露,用戶能不能徹底清理數據,企業要用這些數據做什麼事情等等,這些環節都存在用戶數據被泄漏的風險。
「我們不能保證每個客戶都能按照 GDPR 的標準去執行落實,但在歐洲,我們會盡量協助客戶一起去做好數據安全系統的完善。 」唐日新說。
DeepTech 也嘗試聯繫 Shenzhen i365 Tech 和 3G ELECTRONICS 等詢問其安全漏洞相關解決措施,截至發稿前尚未收到回應,其安全問題可能仍未得到有效解決。
產業鏈弊病仍難根除
據業內人士介紹, 全球兒童智能手表大概有 90% 來自深圳,很多雜牌兒童智能手表的開發方案幾乎沒有什麼技術門檻,堪稱「地攤貨」 ,尤其是在電子產品產業鏈完備的深圳地區,山寨小廠非常多,很多百元左右的智能手表硬件模塊大多是由劣質甚至二手零件拼裝,一只手表的成本最低只有十幾元,背後的技術團隊能力水平很低,數據安全根本無從談起。
圖 | 深圳市關於兒童智能手表的指導文件(來源:深圳市市場和質量監督管理委員會)
2018 年 5 月, 深圳市消委會曾牽頭編制發布《深圳市兒童智能手表標準化技術文件》團體標準,試圖從產業鏈層面解決行業無標準、無監管以及山寨雜牌橫行的亂象 ,文件里概括性提到了在終端、客戶端、安全管理平台、數據傳輸等層面的信息安全要求,但關於這些安全要求細則怎麼真正落實到相關企業,形成最好的治理效果仍需結合多種政策手段進行推進。
國內兒童智能手表目前只有極少品牌有實力配備完善的硬件、軟件、ROM、雲服務等高質量的運維開發團隊 ,大部分雜牌兒童智能手表為了降低成本,都是使用的現成解決方案貼牌跑銷量為主,包括手表的系統、APP 以及共用的服務器後台接入, 如果源頭廠商對安全性不夠重視,下遊市場必然安全漏洞百出,混亂一片 。
對於企業來說,兒童智能手表雖然是兒童產品,但絕不能以糊弄小孩的心態來做,做兒童智能產品,反而需要實施更嚴格和完備的產品安全標準,來為孩子們真正撐起一把保護傘。
-End-
參考:
https://blog.rapid7.com/2019/12/11/iot-vuln-disclosure-childrens-gps-smart-watches-r7-2019-57/
https://blog.avast.com/unsecure-child-trackers
>兒童智能手表爆高危漏洞,黑客能輕易追蹤孩子!涉多家中國廠商、4700萬台設備