儿童智能手表爆高危漏洞 黑客能轻易追踪孩子

Thinkrace 应该是三家公司中最大的一家。资料显示，该公司成立于 2006 年，专门从事智能穿戴设备、车联网等产品的设计、制造和整合行业解决方案，据悉每年能生产交付超过 300 万台物联网设备，还曾作为 2019 年世界夏季特奥会指定穿戴设备供应商。

而据 Techcrunch 报道，很多 Thinkrace 生产或贴牌转售的设备，背后都关联到一个不安全的云平台上。

Thinkrace 云平台的安全漏洞主要是因为云端 API 调用和加密的问题，没有采用 SSL 加密（一种为保护敏感数据在传送过程中的安全而设置的加密技术），暴露了一些密码和数据的明文传输漏洞，然后调用 API 的时候也没有做动态的校验。

关于安全漏洞问题，DeepTech 联系到 Thinkrace 公司负责人唐日新（RickTang）。他回应称，目前在自己公司管控范畴内的安全漏洞其实都已经进行了排查修复。

唐日新表示，现在的数据相关环节都已进行了加密和动态校验部署。比如采用了比较成熟的 Web API Token 方式，第三方想要调用数据需要申请一个 Token，且验证会有时间限制，对一些数据进行了安全保护的强化，如果验证超时则需要请求一个新的 Token 才能调用数据。

图 | 一款儿童智能手表的内部构造（来源：Pen Test Partners）

但这次安全漏洞的修复并不能完全覆盖所有 Thinkrace 之前生产的设备，原因是在云服务和软件开发层面，实际上有不少 Thinkrace 的第三方客户会自己去做开发，包括 APP、云服务和一些新增软件功能，Thinkrace 只提供了硬件设备的方案或产品制造，因此无法保障他们产品数据的安全性，这部分设备销售出去也不在其控制范围之内。

另外，世界各国对于信息数据安全的标准和要求不同，很多欧洲客户不仅是要求保证 API 和云服务的安全。比如欧盟目前实施的 GDPR 通用数据保护条例，包括 Google 和 Facebook 等科技巨头都会时常遭到诉讼，动辄要面临数十亿欧元的罚款，欧美地区的法规监管相对会更严格一点。

而数据安全漏洞不仅包括数据的传输环节，也涉及怎么使用数据，使用哪些类型的数据，使用数据的存活是多长时间，有没有向用户如实披露，用户能不能彻底清理数据，企业要用这些数据做什么事情等等，这些环节都存在用户数据被泄漏的风险。

“我们不能保证每个客户都能按照 GDPR 的标准去执行落实，但在欧洲，我们会尽量协助客户一起去做好数据安全系统的完善。”唐日新说。

DeepTech 也尝试联系 Shenzhen i365 Tech 和 3G ELECTRONICS 等询问其安全漏洞相关解决措施，截至发稿前尚未收到回应，其安全问题可能仍未得到有效解决。

产业链弊病仍难根除

据业内人士介绍，全球儿童智能手表大概有 90% 来自深圳，很多杂牌儿童智能手表的开发方案几乎没有什么技术门槛，堪称“地摊货”，尤其是在电子产品产业链完备的深圳地区，山寨小厂非常多，很多百元左右的智能手表硬件模块大多是由劣质甚至二手零件拼装，一只手表的成本最低只有十几元，背后的技术团队能力水平很低，数据安全根本无从谈起。

图 | 深圳市关于儿童智能手表的指导文件（来源：深圳市市场和质量监督管理委员会）

2018 年 5 月，深圳市消委会曾牵头编制发布《深圳市儿童智能手表标准化技术文件》团体标准，试图从产业链层面解决行业无标准、无监管以及山寨杂牌横行的乱象，文件里概括性提到了在终端、客户端、安全管理平台、数据传输等层面的信息安全要求，但关于这些安全要求细则怎么真正落实到相关企业，形成最好的治理效果仍需结合多种政策手段进行推进。

国内儿童智能手表目前只有极少品牌有实力配备完善的硬件、软件、ROM、云服务等高质量的运维开发团队，大部分杂牌儿童智能手表为了降低成本，都是使用的现成解决方案贴牌跑销量为主，包括手表的系统、APP 以及共用的服务器后台接入，如果源头厂商对安全性不够重视，下游市场必然安全漏洞百出，混乱一片。

对于企业来说，儿童智能手表虽然是儿童产品，但绝不能以糊弄小孩的心态来做，做儿童智能产品，反而需要实施更严格和完备的产品安全标准，来为孩子们真正撑起一把保护伞。

本文素材来自互联网

（编辑：新余站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!