连接的手表允许黑客跟踪，监视儿童

具有跟踪功能的手表多年来越来越受欢迎，这是父母密切关注孩子的一种简单方法。但是，在一个受欢迎的Misafes手表中新发现的一个洞可以为居心叵测的人提供这些跟踪功能，这最终可能会威胁到戴着手表的孩子们的身体安全。

Misafes'Child Watcher 价格不到10欧元，并为父母提供通过SIM卡和手机连接进行双向通话的功能，以及一个随附的应用程序，供家长跟踪孩子的位置。

Pen Test Partners的研究人员发现该小工具中的漏洞转化为潜行者或恋童癖者的理想工具集：他们可能允许远程黑客检索儿童手表的实时GPS坐标。攻击者还可以通过手表呼叫孩子，窃听他们的谈话并拦截他们的个人信息，例如姓名，年龄和性别。

Pen Test Partners的研究员Alan Monie在周四的帖子中概述了他如何能够对手表发起各种不安全直接对象参考（IDOR）攻击。

当内部实现对象（例如文件或数据库）向用户公开而没有任何其他访问控制时，就会发生IDOR攻击。攻击者可以操纵这些引用来访问未经授权的数据 - 并从那里执行各种恶意操作。



在使用Burp代理iOS MiSafes应用程序抓包后，Monie发现流量未加密 - 这意味着个人信息，例如个人资料图片，姓名，性别，出生日期，使用跟踪器的儿童的身高和体重都被传输在明文中通过互联网。

更糟糕的是，API似乎唯一检查的是将用户ID与跟踪器上的session_token参数进行匹配。因此，攻击者可以简单地更改API的get_watch_data_latest参数中的family_id，以找出与该系列关联的监视位置和device_id。

“family_id是按顺序生成的，所以我们将其与我们拥有的另一个family_id交换，我们能够获得另一块手表的位置数据，”Monie告诉Threatpost。“这也返回了一个device_id，我们可以用它来获取孩子的电话号码。”

从那里，Monie能够查看手表的近实时位置数据（因为它每五分钟将GPS坐标更新为API）以及手表以前的位置。

使用来自API的数据，研究人员还能够欺骗手表的呼叫（因为他们可以检索信息以获取孩子和父母的电话号码）并激活“监控模式”，让他们听取孩子的意见。

Monie说，Misafes没有回应多次联系尝试。该公司也没有回应Threatpost的评论请求。然而，Monie表示，该产品已从eBay撤出，并且已不再在亚马逊上市。



无论如何，Monie告诉Threatpost安全故障很难解决，并建议消费者停止使用手表。

“API可能由MiSafes修复，但该设备使用内部白名单来决定是否允许孩子接听电话，”他说。“这很难解决。MiSafes需要更新所有手表中的固件。我们的建议是停止使用这款手表。“

虽然许多物联网设备不安全，但似乎对儿童使用的设备有一些额外的暗示。去年，CloudPets连接的泰迪熊被发现在父母和他们的孩子之间暴露了220万次录音，这是一次严重的数据泄露事件。其他相关玩具中也发现了其他隐私故障，例如Genesis Toys的  My Friend Cayla娃娃（已在德国被禁止）和Mattel的  Hello Barbie  娃娃。

“在消费者或行业机构开始要求满足某些安全标准或供应商发布安全测试报告之前，我认为市场竞争将优先于安全，遗憾的是，”Monie告诉Threatpost。“有这么多便宜的物联网设备，安全研究人员将无法对它们进行全面测试。希望其他国家能够效仿德国的例子，他们禁止使用Cayla娃娃。但如果因安全性差而发生禁令，那么可能会给制造商带来压力。“