具有追蹤功能的兒童智能手表近年來越來越受到家長們的歡迎，它能讓父母知曉孩子的實時位置，在兒童安全性上為父母提供相當大的便利性。但近日在對市場上一個受歡迎的電子品牌——Misafes的調(diào)查后發(fā)現(xiàn)，其智能兒童手表中存在一個漏洞，可以讓其他人訪問跟蹤功能，這最終可能會威脅到兒童的人身安全。研究人員的建議是停止使用這種手表，因為當前沒有緩解措施。
Misafes的Child Watcher電子手表能為父母提供通過SIM卡和手機連接進行雙向通話的功能，以及一個隨附的應(yīng)用程序，供家長跟蹤孩子的位置，但其市場售價不到10歐元。
Pen Test Partners的研究人員發(fā)現(xiàn)，該產(chǎn)品簡直是為跟蹤狂或戀童癖量身訂做的理想作案工具：它不光能允許黑客遠程檢索兒童手表的實時GPS坐標，還可以通過手表呼叫孩子，竊聽談話并攔截他們的個人信息，例如姓名，年齡和性別等。
本周四，Pen Test Partners的研究員Alan Monie在一篇文章中概述了他是如何利用不安全的直接對象引用(IDOR)對手表發(fā)起攻測的。
當內(nèi)部實現(xiàn)對象(如文件或數(shù)據(jù)庫)公開給用戶而不使用任何其他訪問控制時，就會發(fā)生IDOR攻擊。攻擊者可以操縱這些引用來訪問未經(jīng)授權(quán)的數(shù)據(jù)，并從中執(zhí)行各種惡意操作。
在（使用Burp）代理iOS MiSafes的app后，Monie發(fā)現(xiàn)流量未被加密——這意味著個人信息，例如個人資料圖片、姓名、性別、出生日期、兒童的身高和體重都在互聯(lián)網(wǎng)中以明文的形式傳輸。
更糟糕的是，API執(zhí)行的唯一檢查是將用戶ID與跟蹤器上的session_token參數(shù)匹配。因此，攻擊者通過簡單更改API的get_watch_data_latest參數(shù)中的family_id，就可以查找與該家庭相關(guān)聯(lián)的手表位置和device_id。
Monie表示，
family_id是按順序生成的，當將其與另一個相同的family_id交換時，就能夠獲得另一塊手表的位置數(shù)據(jù)，同時會返回了一個device_id，我們可以用它來獲取孩子的電話號碼。
Monie能夠查看手表近乎實時的位置數(shù)據(jù)(因為它每隔5分鐘就會把GPS坐標更新到API)，以及手表所在地之前的位置數(shù)據(jù)。
Monie曾多次嘗試與Misafes聯(lián)系，但沒有得到過該公司的回應(yīng)。但這款產(chǎn)品已經(jīng)從eBay和亞馬遜上撤下。
Monie表示，這個安全故障很難修復，并建議消費者停止使用這款手表：
API的問題MiSafes或許能修復好，但該設(shè)備使用內(nèi)部白名單來決定是否允許孩子接聽電話，這個問題較為棘手。MiSafes需要更新所有手表中的固件。我們的建議是停止使用這款手表。
許多物聯(lián)網(wǎng)設(shè)備并不安全，尤其是一些兒童使用的設(shè)備，可能會具有一些隱藏風險。去年，與CloudPets相連的泰迪熊玩具就發(fā)生過一次重大的數(shù)據(jù)泄露事件，220萬父母和孩子之間的錄音遭到暴露。而其他一些聯(lián)網(wǎng)的玩具中也發(fā)現(xiàn)過類似的隱私問題，例如Genesis Toys的My Friend Cayla娃娃（已在德國被禁止）和Mattel的Hello Barbie娃娃。
Monie表示，
遺憾的是，在消費者或行業(yè)組織開始要求達到某些安全標準或供應(yīng)商發(fā)布安全測試報告之前，市場競爭將優(yōu)先于安全性。有這么多便宜的物聯(lián)網(wǎng)設(shè)備，安全研究人員無法對它們進行全面測試。希望其他國家能效仿德國的做法，嚴格控制銷售權(quán)限，這才可能會給制造商帶來壓力。