具有追蹤功能的兒童智能手表近年來越來越受到家長們的歡迎,它能讓父母知曉孩子的實時位置,在兒童安全性上為父母提供相當大的便利性。但近日在對市場上一個受歡迎的電子品牌——Misafes的調查后發現,其智能兒童手表中存在一個漏洞,可以讓其他人訪問跟蹤功能,這最終可能會威脅到兒童的人身安全。研究人員的建議是停止使用這種手表,因為當前沒有緩解措施。
Misafes的Child Watcher電子手表能為父母提供通過SIM卡和手機連接進行雙向通話的功能,以及一個隨附的應用程序,供家長跟蹤孩子的位置,但其市場售價不到10歐元。
Pen Test Partners的研究人員發現,該產品簡直是為跟蹤狂或戀童癖量身訂做的理想作案工具:它不光能允許黑客遠程檢索兒童手表的實時GPS坐標,還可以通過手表呼叫孩子,竊聽談話并攔截他們的個人信息,例如姓名,年齡和性別等。
本周四,Pen Test Partners的研究員Alan Monie在一篇文章中概述了他是如何利用不安全的直接對象引用(IDOR)對手表發起攻測的。
當內部實現對象(如文件或數據庫)公開給用戶而不使用任何其他訪問控制時,就會發生IDOR攻擊。攻擊者可以操縱這些引用來訪問未經授權的數據,并從中執行各種惡意操作。
在(使用Burp)代理iOS MiSafes的app后,Monie發現流量未被加密——這意味著個人信息,例如個人資料圖片、姓名、性別、出生日期、兒童的身高和體重都在互聯網中以明文的形式傳輸。
更糟糕的是,API執行的唯一檢查是將用戶ID與跟蹤器上的session_token參數匹配。因此,攻擊者通過簡單更改API的get_watch_data_latest參數中的family_id,就可以查找與該家庭相關聯的手表位置和device_id。
Monie表示,
family_id是按順序生成的,當將其與另一個相同的family_id交換時,就能夠獲得另一塊手表的位置數據,同時會返回了一個device_id,我們可以用它來獲取孩子的電話號碼。
Monie能夠查看手表近乎實時的位置數據(因為它每隔5分鐘就會把GPS坐標更新到API),以及手表所在地之前的位置數據。
Monie曾多次嘗試與Misafes聯系,但沒有得到過該公司的回應。但這款產品已經從eBay和亞馬遜上撤下。
Monie表示,這個安全故障很難修復,并建議消費者停止使用這款手表:
API的問題MiSafes或許能修復好,但該設備使用內部白名單來決定是否允許孩子接聽電話,這個問題較為棘手。MiSafes需要更新所有手表中的固件。我們的建議是停止使用這款手表。
許多物聯網設備并不安全,尤其是一些兒童使用的設備,可能會具有一些隱藏風險。去年,與CloudPets相連的泰迪熊玩具就發生過一次重大的數據泄露事件,220萬父母和孩子之間的錄音遭到暴露。而其他一些聯網的玩具中也發現過類似的隱私問題,例如Genesis Toys的My Friend Cayla娃娃(已在德國被禁止)和Mattel的Hello Barbie娃娃。
Monie表示,
遺憾的是,在消費者或行業組織開始要求達到某些安全標準或供應商發布安全測試報告之前,市場競爭將優先于安全性。有這么多便宜的物聯網設備,安全研究人員無法對它們進行全面測試。希望其他國家能效仿德國的做法,嚴格控制銷售權限,這才可能會給制造商帶來壓力。
| 
