安全研究人员发现亚马逊上销售的儿童智能手表存在严重安全漏洞
安全研究人员发现了亚马逊上销售的一系列儿童智能手表存在严重漏洞。研究人员警告说,潜在的黑客可以利用这些安全漏洞来接管设备,并且可以跟踪孩子,甚至与他们进行对话。
安全公司Rapid7披露了在亚马逊上出售的三款儿童智能手表存在安全漏洞,这三款儿童智能手表是Duiwoim,Jsbaby和Smarturtle,价格不到40美元。它们被用作跟踪设备,以跟踪孩子并允许父母向孩子发送消息或者打电话。
但是Rapid7的安全研究人员发现,与佩戴手表的孩子保持联系的不仅仅是父母,因为它们内建的过滤器本来只允许白名单上的电话号码与手表联系,但是Rapid7发现此过滤器根本不起作用。
这些手表还通过短信接受了配置命令,这意味着潜在的黑客可以更改手表上的设置,从而使孩子处于危险之中。研究人员说,这三款手表都使用相同的软件,因此,这三款手表的漏洞会全面扩散。
Rapid7的研究人员还发现,这三款智能手表的默认密码完全相同,它们都是123456。Rapid7说,人们不太可能更改此密码,设备甚至不会告诉用户密码存在或如何更改。研究人员警告说,凭借这种简单的密码和通过短信更改配置的能力,潜在的黑客可以接管设备并跟踪孩子,甚至将智能手表与自己的手机配对。
Rapid7发现的另一个明显缺陷是,无法联系三款智能手表的制造商。 Rapid7的研究人员没有任何办法与制造商取得联系,因此担心无法解决这些漏洞。亚马逊目前没有回应是否要从商店中下架这三款儿童智能手表。
但是Rapid7的安全研究人员发现,与佩戴手表的孩子保持联系的不仅仅是父母,因为它们内建的过滤器本来只允许白名单上的电话号码与手表联系,但是Rapid7发现此过滤器根本不起作用。
这些手表还通过短信接受了配置命令,这意味着潜在的黑客可以更改手表上的设置,从而使孩子处于危险之中。研究人员说,这三款手表都使用相同的软件,因此,这三款手表的漏洞会全面扩散。
Rapid7的研究人员还发现,这三款智能手表的默认密码完全相同,它们都是123456。Rapid7说,人们不太可能更改此密码,设备甚至不会告诉用户密码存在或如何更改。研究人员警告说,凭借这种简单的密码和通过短信更改配置的能力,潜在的黑客可以接管设备并跟踪孩子,甚至将智能手表与自己的手机配对。
Rapid7发现的另一个明显缺陷是,无法联系三款智能手表的制造商。 Rapid7的研究人员没有任何办法与制造商取得联系,因此担心无法解决这些漏洞。亚马逊目前没有回应是否要从商店中下架这三款儿童智能手表。
关于作者
评论6次
确实有点严重,不知道国产的是不是也有类似的问题呢
安全有时候并不是建立在高安全级别之上,而是建立在庞大的用户基数上的...有多安全,还是要看目标数据是否值得.
这个是,有好多这样的安全事情发生
安全有时候并不是建立在高安全级别之上,而是建立在庞大的用户基数上的...有多安全,还是要看目标数据是否值得.
这也太危险了;这个行业安全异常重要,360手表前段时间还在测试的时候着火了。。。真是赚富人的钱啊
儿童手表在正式发行前,就应该做安全测试,开发研制阶段就应该遵循安全规范。
这样的儿童智能手表太危险了,稍有不慎就出现问题