一款售价35美元的中国制造的儿童智能手表被曝光,其中有5,000多名儿童及其父母的个人详细信息和位置信息。
在由AV-TEST的物联网测试部门今天发布的一份报告中,研究人员说,他们发现采取了令人震惊的安全措施来保护中国公司SMA制造的M2智能手表的后端和移动应用程序。
AV-TEST首席执行官兼技术总监Maik Morgenstern表示:“中国SMA-WATCH-M2迄今为止在其他制造商的安全性故障中名列前茅。”该团队一直在测试儿童智能手表超过两年。
M2智能手表及其安全漏洞
SMA W2儿童智能手表已经问世多年了。它旨在与配套的移动应用程序一起使用。父母会在SMA服务上注册一个帐户,将孩子的智能手表与手机配对,然后使用该应用程序跟踪孩子的位置,进行语音通话或在孩子离开指定区域时获得通知。
这个概念并不新鲜,因为市场上有很多类似的产品,价格从30美元到200-300美元不等。但是,Morgenstern建议SMA创造了市场上最不安全的产品之一。
首先,Morgenstern说,任何人都可以通过可公开访问的Web API查询智能手表的后端。这是移动应用程序还连接以检索其在父母手机上显示的数据的后端。
Morgenstern说,应该有一个身份验证令牌,可以防止未经授权的访问,但是攻击者可以提供他们喜欢的任何令牌,因为服务器从不验证其有效性。
攻击者可以连接到该Web API,循环浏览所有用户ID,并收集所有孩子及其父母的数据。
Morgenstern说,使用这种技术,他的团队能够识别出5,000多名M2智能手表佩戴者和10,000多名家长帐户。
大多数孩子都分布在整个欧洲,分布在荷兰,波兰,土耳其,德国,西班牙和比利时等国家,但AV-TEST首席执行官表示,他们还在中国,香港和墨西哥发现了活跃的智能手表。
通过此Web API公开的数据包括孩子的当前地理位置,设备类型和SIM卡IMEI。
此外,第二个漏洞允许访问更多更令人毛骨悚然的功能。Morgenstern说,安装在父母手机上的移动应用程序也很不安全。
攻击者可以将其安装在自己的设备上,在应用程序的主配置文件中更改用户ID,并将其智能手机与孩子的智能手表配对,而无需输入父帐户的电子邮件地址或密码。
攻击者将智能手机与孩子的智能手表配对后,他们便可以使用该应用程序的功能通过地图跟踪孩子,甚至可以拨打电话并与孩子进行语音聊天。
更糟糕的是,攻击者可以在给孩子错误的指示时更改移动帐户的密码,并将父级锁定在应用程序之外。
手表仍在销售
Morgenstern表示,他们已将发现与SMA联系。他没有说怎么SMA反应,但只提到手表仍在通过该公司的网站,并通过其他分销商[售出1,2 ]。
Morgenstern说,德国分销商Pearl已在报告后上架了M2。
在本文发表之前,SMA没有返回置评请求。
AV-TEST首席执行官还联系了该国的网络安全机构联邦信息安全局(BSI)。如果手表具有远程监听功能,2017年BSI禁止在德国销售儿童智能手表。
今年2月初,欧盟因类似的安全漏洞而召回了两个儿童智能手表型号,这些安全漏洞使攻击者可以接触和/或跟踪儿童的位置。
