儿童安全手表漏洞曝光：真不安全_PCEVA,PC绝对领域,探寻真正的电脑知识

儿童安全手表漏洞曝光：真不安全

2019-9-6 17:26| 发布者: 绝对有料| 查看: 6550| 评论: 5|原作者: 绝对有料

摘要：孩子到了上学年龄之后，很多家长都会买一块儿童安全手表，除了语音通话和时间显示之外还能提供定位和家长监听/远程拍照功能。在多数人只担心辐射问题时，海外的Avast安全团队揭开了安全手表的更深层安全问题！在 .. ...

孩子到了上学年龄之后，很多家长都会买一块儿童安全手表，除了语音通话和时间显示之外还能提供定位和家长监听/远程拍照功能。在多数人只担心辐射问题时，海外的Avast安全团队揭开了安全手表的更深层安全问题！

在研究了29款同类产品后，研究人员发现这些手表全部来自深圳的i365，并且拥有完全相同的弱密码漏洞：初始密码为123456。

i365制造的各种GPS追踪设备都使用123456作为初始密码，虽然它建议用户在首次使用时更改密码，但研究人员对扫描了一个包含100万账户的设备段后发现，有超过6成用户根本没有更改：123456，bingo!

通过i365的GPS追踪系统，输入设备IMEI和密码就能查询设备当前位置。

研究人员对1703开头的IEMI段进行了扫描，轻松找出了23万个使用默认密码的设备，其中16.7万个设备能够查询到定位信息，位置遍布全世界。

除了弱密码之外，还有更多让人担心的事实：i365的GPS定位设备与服务器间通信使用明码传输。

通过技术手段可以实现进一步的入侵，实现包括远程监听、远程拍照、植入恶意固件、借被入侵的手表给其他手机号码发送广告短信等等，除了泄露隐私之外，安全手表还极有可能成为黑客手中控制的肉鸡。

更严重的问题是，受影响的其实并非只有i365，由i365提供技术的产品/平台数量众多，除了儿童安全手表，还有汽车防盗设备等等，它们很可能存在一样的安全问题。而消费者很难弄清楚自己手中的GPS定位设备是否属于受影响的范围。

Avast安全团队早在2019年6月24日就将安全漏洞通知了设备供应商，但截至9月5日公开时仍未收到答复。详细的漏洞分析报告可在Avast威胁实验室（decode.avast.io）查看。

本文版权归 PCEVA,PC绝对领域,探寻真正的电脑知识原作者所有转载请注明出处