深思:信息化时代,你的孩子安全吗?

没有加密的“安全”手表,可能让孩子更危险!

2015年11月24日 14:43


近期,与安全相关的各种事件呈井喷式爆发出来,诸如儿童走失、拐卖、绑架等事件仍然屡禁未止,也让儿童安全问题成为社会热议的关注点,尤其是极易被忽略的信息安全,同样不可小觑。种种事件发生的同时,更是为众多置身事外的父母敲响了警钟。

故此,工作中的家长们对于自己宝贝的安全担忧,逐渐催生出了儿童安全这一巨大的市场需求,上周的高交会中,央视也专门采访并报道了相关儿童智能设备,使得整个行业展现在众人眼中。

其中,如今最有代表的儿童智能手表,这一新型的可穿戴设备应运而生:360儿童卫士,卫小宝,小天才,搜狗糖猫等主打实时定位,语音互联的儿童智能手表成为儿童安全市场的新宠,一大批产商进军儿童智能手表产业,2015年可谓儿童智能手表产业爆发的元年,从百度指数可以看到,儿童智能手表从2015年开始呈几何倍数上涨。

 

X1.png

不过近日,央视曝光出儿童智能手表存在重大漏洞,黑客利用儿童父母的手机号,即可轻松破解手机号所关联的所有儿童智能手表,获取其行走路线,甚至窃听通话!

国内网络安全反馈机构“乌云漏洞报告平台”对外描述称:“淘宝前32位有13款手表存在接口越权漏洞,可导致超百万儿童被黑客实时监控,获取儿童的日常行走轨迹,实时环境声音等。手表方案商为深圳三基同创科技有限公司,涉及多个淘宝品牌商。”无疑,这对于主打安全的儿童智能手表和关心自己宝贝的家长而言,不下于一声巨响。

007.png

     按照问题的描述,笔者查阅了淘宝“儿童智能手表”搜索词下按销量排序的前40位手表店铺,其中不乏小天才、咪咪兔、阿巴町、优者、恒族等品牌,通过与资深业内人士咨询,这次漏洞事件的影响也逐渐清晰。

      市面上的儿童智能手表,多包含通话和定位两项主打功能,儿童走失后可以通过手表与家长电话沟通,同时家长可以通过APP端监控儿童的地理坐标,做到对小朋友的定位找寻,确保孩子是否在安全区域内活动等,用过苹果手机的人都知道苹果有推广“Find my phone(查找我的手机)”这一应用服务,而儿童智能手表,就相当于是通过手表来实现“Find my baby”这一功能,以此来保证孩子的活动安全,此次安全漏洞类型为接口越权漏洞,通俗的说,“就是黑客可以通过家长手机端的监控APP,直接调取儿童手表的数据接口,做到通过电脑浏览器就可以看到小朋友的地理位置,激活手表通话功能监听等功能。”一位手表定位厂商的资深技术总监如是说;这就是说原本如同卫士一般的儿童智能手表,反而成为了鹰犬一般的存在,“如果这些数据被人贩子团伙利用,完全可以掌握孩子上学的地点,住址小区,常去地点,了解是否有家人陪伴(监听)等信息,完全是一个导航地图的存在。”

QQ图片20151123143334.png

     面对这样高隐私度曝光的漏洞,我们不经要问为什么和怎么办这两个至关重要的问题,家长原本是担心孩子的安全才购买的儿童智能手表,反而却有着沦为人贩子找寻小孩利器的可能,本来的保护者,却成了要时刻小心的“终结者”,这无疑是让人需要反思的问题。

      此次披露的漏洞厂商为深圳市三基同创电子有限公司,此公司为儿童定位手表厂商提供定位主板解决方案,即提供手表的内置面板给厂商组合成型,“因为是公版公模,便于生产,厂商为了赶生产速度拿到主板直接加工,直接省略了加密步骤,而同时面板商为了出货量考虑,直接就取消了面板的加密,制造商、加工商同时忽视了面板的加密措施,使得黑客可以毫无顾忌的直接调用到面板的数据接口,取得和家长端等同甚至达到技术人员的控制权限,而这一切,只需要简单的密码破解工具就可以完成。”一位APP开发者说道,“这实际上是业内低成本厂商的通病,就是重产量,而忽视最基本的安全问题。”而这个数据交换的过程可以从下图得知,主要受到影响的为B类手表厂商用户。“这就是对于产品质量的标准问题,淘宝厂商对于成本的追求忽略了基本的安全素质,而现在补救已经没有办法了。”

QQ图片20151123164950.png

按照深圳市三基同创电子有限公司官网的介绍,“三基同创从2010年就开始着力研发MTK车载定位主板,采用的是MTK全芯片设计,一直处于行业领跑位置,最大优势比模块方案可以做到功耗更低,体积更小,性价比更高。现有多种成熟车载定位、人员定位、定位手机等主板,并长期供应给行业巨头多家大公司,技术上积累几家大公司多年宝贵经验,质量上成熟稳定有保障,为广大客户可以大大节省开发时间和成本,又可以避开技术研发的风险,减少公司的投入和开支。 ”其介绍中的大公司还不得而知,但是可以预见此次漏洞的影响范围绝对是十分巨大的。

QQ图片20151123150513.png

      笔者联系到了儿童智能手表市场的一大品牌厂商卫小宝,对此次漏洞与卫小宝CEO邵国光进行了沟通,对方表示此次漏洞只是影响到为了成本和出货的淘宝儿童智能手表厂商,其公司的卫小宝产品系列,采用的是卫小宝团队自主开发的“卫小宝私有云”技术,在家长APP端采用的是电子Token证书的双重认证模式,与微信登录的认证原理相同,当家长首次登录APP时,会获得远程下载的电子Token证书存储在手机中,如同苹果的Touch ID(指纹识别技术)将指纹信息只存在手机中而不上传远端避免黑客破解一样,这样家长登录时除了第一层的服务器密码认证防护外,还有电子Token证书的防护,保证必须是家长的手机、家长的账户密码双层验证通过后才能获得读取孩子信息的权限,从而保证了孩子的信息安全;同时在智能手表端,“卫小宝私有云”使用的是Advanced Encryption Standard (高级加密标准)这一技术发送儿童地理位置到云端服务器,作为双向保护模式,对数据多层加密,从各个渠道保证产品的安全核心理念。

     同时他还表示当今数据安全,尤其是用户隐私数据,早已不只只是QQ号,邮箱密码如此简单的互联网服务数据,只在屏幕的另一边,是一个虚拟的“你”的存在,可穿戴设备因为与用户生活息息相关,其收集到的数据不仅仅在虚拟的网络世界,而是活生生的时刻关注着你的生活的高度集中的隐私数据,一个人的作息,活动范围,出入场合,都可以被可穿戴设备静默的收集,这些数据存放在哪里,是否安全,就显得尤为重要。

 WEB 1.0 时代,网站的数据存放在租用的网络供应商的机房中,只有实力财力巨大的企业,才能自建服务器进行用户数据的存放,而一旦数据库因何种原因泄露,用户的数据就直接赤裸裸的流放在网络的地下黑市,而今淘宝的一些低价儿童手边厂商的服务器,就是还停留在上个世纪的水平,依旧在老式的机房服务器存储中,面对现在超越过去二十年的黑客技术,如同在没有围栏中的绵羊,靠着“运气”这个牧羊人逃避着徘徊在外的一群群饿狼,记录着儿童在哪里上学,每天固定上下学路线,作息时间,常去的场所,是否一人独处的这些如同地图导航般精确的数据,就被一天天的上传 ,收集,但是却毫无保护的存放在网络空间中。

      早在产品设计初始,卫小宝团队就意识到了用户数据的安全性,孩子的安全是整个产品设计的核心,而如何保障数据的安全,如何让家长们放心的将自家宝贝的数据交付给卫小宝,他们给出了自己的答案,抛弃低廉成本的租用模式,每年斥资万元使用支付宝同级别的阿里云作为企业数据服务商,同阿里云达成了商务合作关系,阿里云特有的“飞天”平台云存储系统可以将成卫小宝的数据分发到成千上万台分布在各个数据中心、拥有相同体系结构的机器中,碎片化分布式离散存储用户数据,数据交换需要几十层安全验证,从云端到设备再到您身边,彻底坚守您和孩子的信息安全,坚持贯彻安全才是核心的产品理念。

      从同卫小宝CEO邵总的交流可以看出,即使有安全漏洞问题的出现,但是坚持产品品质的厂商还是早已就避免了此类漏洞的发生,消费者在选购的时候还是不能只注重产品的价格,更要注重的是其背后的产品服务。而受到此次漏洞波及的消费者,建议去正规渠道购买有品质保证的品牌产品,给孩子们的健康成长一个可靠的保证。