现在的儿童智能手表,硬件强壮,功用交心,实时定位、高清双摄、人脸辨认、视频通话。孩子们觉得便利好玩,家长们能够随时把握孩子行迹。
现在,不少低配版的儿童智能手表在各大电商渠道热销畅销。3·15信息安全实验室对此展开了专门的测验。
这款儿童智能手表有着10万+的出售记载。测验人员购买了一只,交给一位小朋友佩带。测验人员将一个恶意程序的下载二维码伪装成抽奖游戏,贴在了孩子家门口。
这样的抽奖游戏,很简单招引孩子扫码体会。就这样,恶意程序就轻松进驻到了孩子的智能手表中。
一起,工程师现已完成了对这款手表的长途操控。
孩子每次抽奖,恶意程序就主动把手表里的重要信息,如方位、通讯录、通话记载等打包实时发送出去。
玩完抽奖游戏,孩子下楼游玩,工程师仍然能够实时定位,不间断搜集孩子的移动轨道,轻松圈定孩子的活动范围。
测验人员从后台能够经过屡次搜集孩子的方位信息来揣度,她的家离她的校园其实很近,大约两三百米,5分钟就能走到。
回家后,孩子和姥姥谈天。经过调用手表里的麦克风,身在异处的工程师对说话内容一览无余。
饭后,孩子在书桌前做手艺。孩子的一举一动也被随时把握。
为什么这种深受孩子喜欢、家长信赖的儿童智能手表会成为一双时间窃视的眼睛,如影随形?
测验人员发现,根本原因就在于它的操作体系过于老旧。
这款手表运用的竟然是没有任何权限办理要求的安卓4.4操作体系,距今已将近10年。而它的最新版别现已更新到了安卓12。
只需App请求什么样的权限,安卓4.4操作体系就会给App什么样的权限,也不会有任何的奉告用户和得到用户授权赞同的环节。
在如此低版别的儿童手表上,各种App装置后,无需用户授权就能够拿走定位、通讯录、麦克风、摄像头号多种灵敏权限。这也就意味着它们能容易获取孩子的方位、人脸图画、录音等隐私信息。
这些厂家选用低版别的操作体系是出于压低本钱的考虑。但是它疏忽了用户运用的安全性,给顾客带来了无量的后患。
同样是在安卓体系的手机上,装置App时,体系都会有清晰提示:用户是否赞同授权。
现在我们非常重视手机App的监管,从技能原理上来讲,手机端的许多规范要求放到智能终端上是彻底适用的。或许仍是重视度不行的问题,让这一类智能终端在个人信息的维护上成为一个重灾区。
3·15信息安全实验室也对其他低配版的儿童智能手表进行测验。
这款儿童智能手表运用的是安卓9的操作体系,看起来版别较新。
装置App时,体系会弹窗提示是否给予某个权限。但是,用户一旦回绝授权,App就会闪退,回绝供给任何服务。
比方,测验人员翻开一款叫“气候”的应用程序。它会呈现一个弹窗,索要用户的存储权限。假如只查气候,不需要存储和读取用户相片,所以挑选回绝。然后应用程序又索要拨打电话权限,这也是一个非必要权限,仍是回绝。再次索要定位权限,也是一个非必要权限,也回绝。然后这款应用程序就立刻闪退了。
如此,顾客只要两种挑选,要么彻底不必,要么就拿一切的权限去交换服务。
App的强制索权的行为危害性很大。由于用户为了取得服务,一旦退让把权限给出去,手表里的信息也就交出去了。孩子的地理方位、图片视频、通话录音等隐私将会被搜集,孩子的安全隐患可想而知。