0x00 引子

這是來自美劇《網絡犯罪調查》的一張截圖，講述的是黑客通過入侵了數萬家庭嬰兒監控攝像頭，分析家庭的作息時間，在合適的時機偷出需要的嬰兒，並實時進行全球在線拍賣的故事。 上面的場景哪怕放在兩年前都會顯得有些科幻，但由於近年來智能硬件熱潮的興起，帶來相關設備的井噴式發展，使得上面的場景已經完全可以變成現實。只是本文的主角由嬰兒監控攝像頭變成了兒童智能手錶。

0x01 背景

以Apple Watch為代表的智能手錶行業的興起，帶起了智能穿戴設備的一波高潮。當這類技術和特定的人群結合，就形成了各種細分市場，比如老人手錶、運動手錶、兒童手錶。由於開學季，近幾個月來，兒童智能手錶的市場呈現出爆發的姿勢，行業月出貨量達到百萬以上。家長們也紛紛願意為這個新產品買單，以期收穫一份安心。

這個現象引起了專注智能硬件安全的NumenTeam（http://numen-team.org）團隊的注意，憑著過往的積累，我們敏銳地感知到，大量湧入的手錶廠商，同時也攜帶了大量的安全問題進入這個領域。孩子是一個家庭的希望，可以說孩子的安全是一個家庭最重要的事情，其重要性遠遠超過隱私洩漏、財產被盜這類傳統安全關注的問題。 在國內知名的安全問題發佈平臺烏雲（http://WooYun.org）上，也出現了不少相關漏洞。有感於這個可能爆發重大安全問題的行業，NumenTeam聯合烏雲平臺對市面上主流的兒童智能手錶進行了深入的安全問題分析，以期能引起行業關注，儘快修復存在的問題。 為此，我們在淘寶和京東上抽取了部分銷量不錯的兒童智能手錶品牌作為測試對象，包括：小天才

阿巴町

三基同創

糖貓

鋒立

開米

一米

平安星

TORO

中興守護寶

童表管家

邦邦熊

庫多啦

微喔 V.WO

市面上的兒童智能手錶一般主打以下幾個賣點：

1. 實時定位孩子的位置，以及衍生的活動軌跡圖、回家導航、範圍預警等。
2. 發消息、打電話、SOS向家長求救。
3. 監聽孩子周圍環境的聲音。
4. 孩子運動統計。

可以看到，智能手錶的功能中實際上包含了孩子非常多的隱私信息，如果被黑客控制，後果非常嚴重。

0x02 研究方法

如果從專業的安全角度來說，評測智能手錶會涉及到很多細節問題，比如APP安全、Web安全、固件安全等。為了簡化研究過程，本文從下面四個關鍵維度的結論來評估手錶的安全風險：

1. 是否可以獲取其他兒童的定位信息
2. 是否可以遠程監聽其他兒童
3. 是否可以切斷家長和兒童的聯繫
4. 是否可以根據家長手機號精確匹配到其孩子

如果上述四個維度都能實現，就意味著引子裡面的電視劇場景可能變成現實。

0x03 結論數據

通過對各款手錶的通信協議和指令系統進行分析和模擬，我們得到的結論非常不樂觀。大部分兒童智能手錶存在上面提到的一個或多個安全風險。有些品牌甚至全中，對此我們表示非常擔憂。 下面描述一下各個維度常見的問題的部分原因：

1、定位其他兒童

問題1：無需授權綁定設備 原因：部分品牌存在，只要知道對方手錶序列號，就可以直接綁定手錶獲取數據，沒有要求兒童或者家長側的驗證。 問題2：無需綁定越權查詢 原因：部分品牌的後臺查詢接口，權限控制不嚴格，通過構造指令可以直接查詢到其他手錶的定位信息。

2、監聽其他兒童

問題1：無需授權綁定設備 原因：原因同定位信息，黑客可以直接綁定手錶，獲取全部權限。 問題2：後臺權限判定不嚴格 原因：部分品牌在處理監聽請求時，沒有限制只有來自父母的請求才接受，導致可被黑客監聽。

3、切斷家長和孩子的聯繫

問題1：APP端存在默認密碼 原因：部分品牌為了方便，在父母手機端使用了默認密碼，導致黑客可以簡單修改密碼使得父母無法登錄，無法取得兒童的信息。 問題2：後臺越權修改密碼 原因：部分品牌後臺修改用戶信息的接口存在權限控制問題，可以通過特定的方式修改他人帳號信息和密碼，導致父母無法登錄。

4、精確匹配家長和兒童

問題1：查詢接口暴露過多信息 原因：部分品牌的數據查詢接口暴露了過多信息，可能包括家長和孩子的手機號，導致可以做到精確匹配。

5、詳細結論

定位兒童 監聽兒童 切斷父母數據 匹配父母孩子

品牌01 √ √ √ √

品牌02 √ √ √ √

品牌03 × × × ×

品牌04 × × × ×

品牌05 √ √ √ √

品牌06 × √ √ √

品牌07 √ √ √ √

品牌08 × × × ×

詳細結論請查看：http://www.mottoin.com/detail/3111.html

0x04 細節舉隅

1. 越權查詢

由於智能手錶的方案商多數屬於傳統廠商，互聯網安全意識這塊相對薄弱，導致許多產品連最基本的賬戶權限控制都沒有做。只需要修改web api的指令參數，就可以獲得其他設備的詳細信息。 例如調用某款智能手錶的reqDeviceInfo指令，修改參數 device_id。

就可以拿到非常敏感的信息，包括家長和孩子的手機號、頭像等。

2. 設備遍歷

越權問題通常還有個特別親密的小夥伴，就是設備的遍歷，廠商為了方便，設備ID往往使用簡單的遞增，最多再加上前後綴的方式。導致把前面越權查詢的問題迅速放大，甚至於可以拉取廠商所有賣出的設備信息。 下圖是從某廠商的數據接口中讀出的部分定位數據：

上面的簡單數據或許不會感覺太明顯。為了直觀表示，這裡抽取了部分定位數據，繪製了京津唐地區的實時監控數據圖：

可以看到，黑客完全可以繪製一張實時地圖，來監控全國各地的孩子們，細思極恐。 其實安全問題這邊還有很多細節，由於兒童安全這個問題實在太過敏感，這裡去除了大部分，僅希望這個局面能引起各廠商的重視。

0x05 結語

限於研究時間的關係，上面的數據可能只是部分產品的一部分問題而已。還有更多的其他智能產品在讓我們享受更便利生活的同時，在源源不斷的洩露隱私，導致可能的安全風險。後續相關問題我們也會持續提交到烏雲平臺，為產業的安全能力提升貢獻力量。 作為安全研究人員同時也是一個普通父親，我們對此現狀感到非常擔憂。彷彿看到千千萬萬的孩子處於危險。雖然我們傾向於認為人販子不會擁有這樣的視野和技術，但是在未來的高科技犯罪場景下一切皆有可能。 對此，我們NumenTeam團隊也在積極打造相關的安全服務和產品，希望能幫助安全能力不足的企業，一起努力提升這個行業的安全性，希望引子裡的場景僅僅存在於電視劇而已。

本文作者：Drops，轉載自：http://www.mottoin.com/detail/3111.html

閱讀更多 A1d2m3i4n5 的文章

關鍵字: 黑客 體育 穿戴