智能手表允许黑客跟踪、监视儿童

智能手表允许黑客跟踪、监视儿童

具有定位跟踪功能的儿童智能手表越来越受欢迎,这是父母能随时监控孩子动向的一种简单方法。家长给孩子购买儿童智能手表的初衷多是为了获得一份安全感。那么,这样一块手表真的能带给孩子安全吗?最近的一项研究发现,流行的Misafes手表中的漏洞可以让黑客跟踪儿童,这最终可能会威胁佩戴智能手表的孩子们的安全。

Misafes的这款儿童智能手表售价不到十欧元,可以插入SIM卡后与手机连接进行双向通话,还随附一个应用程序,可以让父母跟踪孩子的位置。

Pen Test Partners的研究人员发现手表中的漏洞可以让手表成为偷窥者和恋童癖最理想的犯案工具。漏洞可以让远程黑客检索儿童手表的实时GPS坐标,还可以让攻击者给孩子的手表打电话,窃听他们的通话内容并窃取孩子的个人信息,包括姓名、年龄和性别。

通过IDOR攻击,研究人员可以:

检索儿童手表的实时GPS坐标;

给孩子打电话;

创建一个隐蔽的单向语音通话,监听孩子;

通过手表给孩子发送语音消息;

检索孩子的照片、以及他们的姓名、出生日期、性别、体重和身高。

研究人员通过Burp代理iOS应用程序,发现流量并未加密。登录应用程序要输入个人和敏感信息,例如电话号码、密码以及与儿童相关的信息,然后该应用程序通过互联网以明文形式传输的个人资料、图片、姓名、性别、出生日期、身高和体重。

漏洞信息

将手表与不同的测试手机配对,研究人员尝试了各种授权和不安全的直接对象参考(IDOR)攻击。

API执行的唯一检查是将UID与session_token匹配,因此只需更改get_watch_data_latest操作中的family_id(如下所示),攻击者就可以查看与该家庭相关的手表位置和设备ID。

智能手表允许黑客跟踪、监视儿童

智能手表每五分钟将GPS坐标更新到API,因此它几乎是实时位置数据。有了这些信息,就可以很容易地遍历family_ids并恢复所有孩子的位置和设备ID。ID似乎是有顺序的,研究人员估计大约有12,000个。在做这项研究的同时,就有数百人注册。

研究人员决定用C#编写一个概念验证应用程序,这样就可以实时跟踪目标智能手表。出于明显的法律原因,研究人员没有访问任何其他手表的数据,但是如果是一个心怀不轨的人,那么创建这样的实时地图是轻而易举的:

智能手表允许黑客跟踪、监视儿童

API还跟踪以前的位置,因此可以记录下每一个位置并显示孩子每天走的路线,然后就可以预测孩子们的位置。

智能手表允许黑客跟踪、监视儿童

查看手表信息操作中的device_id参数也容易受到IDOR攻击。发送请求后会返回孩子的电话号码、加密密钥和手表IMEI号码:

智能手表允许黑客跟踪、监视儿童

最后,可以通过欺骗get_group_list操作中的family_id来获得父母的电话号码:

智能手表允许黑客跟踪、监视儿童

通过手表给孩子打电话

这款手表确实可以防止陌生人给孩子打电话,其中存在白名单,可以控制手表呼叫和接收的授权电话号码。问题在于来电者ID可以是假的。因此,作为一个概念验证,研究人员使用crazycall.net成功欺骗了测试手表。

使用来自API的数据,攻击者可以获得孩子和父母的电话号码,并对手表进行呼叫。如下图所示,孩子会认为是爸爸在打电话。如果有这样的电话,孩子们会对电话里的要求言听计从吗?在Kid Tracker流氓应用程序中也可以使用基于VoIP的PBX。安装、点击,你可以打电话给任何孩子。

智能手表允许黑客跟踪、监视儿童

音频窥探孩子

该应用程序还允许将手表变成远程监听设备,根本不需要孩子与手表互动。撇开明显的道德和儿童隐私问题,该手表是否安全?当然不安全!

将有效的设备ID传递给API中的activate_monitor_mode,这将使手表自动应答来自白名单中的任何呼叫。和以前一样,欺骗性的来电显示将允许任何人远程监听孩子。如果手表留在家中,它就成为互联网上任何人的远程监听设备。

激活监听模式:

智能手表允许黑客跟踪、监视儿童

监听模式:

智能手表允许黑客跟踪、监视儿童

电话自动应答,手表短暂显示“忙碌中”,然后屏幕变为空白。手表没有响,所以没有人知道谁在听,从哪里听。

追踪数百万儿童?

基于移动应用程序下载统计数据,已发布的销售统计数据以及API授予的新设备ID,研究人员认为一百多万只具有类似漏洞的手表正在使用,全球可能超过300万。儿童智能手表品牌繁多,但所有品牌似乎都使用非常相似的API,这表明它们都来自同一家原始设备制造商或ODM。

据了解,目前国家对于儿童安全手表等智能穿戴设备还没有统一的规范,这类产品在信息安全方面的质量参差不齐,打着“安全”旗号的手表可能反而让儿童更不安全。

 

 

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/131796.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code