《南方都市报》报道称,日渐流行的儿童电话手表大多被冠以“智能”头衔,以“安全”、“便捷”作为产品的最大卖点。然而南都在质量安全检测中心,对儿童电话手表可能存在的安全漏洞进行实测验证发现,通讯录号码在后台就可进行修改,“黑客”后台拨号,手表显示“爸爸”并不难。
[新闻背景]
来电的是爸爸?其实并不一定
从去年开始,就陆续有白帽黑客在国内安全平台乌云上,曝光了儿童安全手表的相关漏洞,漏洞的主要根源在厂家的服务器上。有专家表示,现在的儿童智能手机所有信息其实都在后台服务器上,攻击者可利用漏洞查询智能手表连接的服务器,就可以查看到客户信息,并根据相应ID直接查看孩子的地理位置、实时监控孩子的地理坐标、日常活动轨迹及环境录音等隐私内容。
在测评中,被攻击的儿童电话手表一直处于黑屏状态,没有任何迹象,可记者的手机却显示出了号码。“这个就是这块儿童电话手表打过来的。”鉴定君拿着手机走到室外接通电话,就和普通打电话一样,非常清晰地听到室内的一切声音。
另一个实验,通过后台服务器,拿到这块手表的通讯录,再通过攻击软件,对通讯录上的电话号码进行修改,然后再上传回服务器。很快,他用自己的手机向这块儿童电话手表进行拨号,儿童电话手表屏幕上就清晰显示出“爸爸”的字样。
很难辨识来电真伪只能回拨确认
那么,如果黑客使用技术手段篡改儿童手表上的号码,消费者是否有办法判断来电的真伪呢?黑客又是如何通过手段来篡改这些号码的?记者也咨询了南京信息工程大学计算机与软件学院的安全专家沈剑教授,他对此进行了解读。
首先,对于所谓的篡改号码后的识别,沈剑教授表示,作为普通消费者,他看到的来电号码是什么样就是什么样,是看不出背后真伪的。“黑客是窃取后台信息篡改的号码,你保存的是文字,通过文字是辨别不了的,只能通过日常生活行为习惯来判断,比如声音和语言习惯等。需要注意的一点,如果电话那头涉及敏感信息,有必要通过千真万确的号码回拨来确认。”
“这其实需要家长教育孩子,如果接到电话里有自己不确定的信息,比如爸爸不能来接你会让同事来等等,一定要教孩子学会回拨给家长确认,以保证安全,从用户行为习惯上来降低安全风险,因为漏洞本身无法避免。”沈剑告诉记者。
儿童手表为何漏洞多?服务器投入跟不上
随着接二连三的曝光,儿童手表的不安全方面陆续被发现,那么,儿童手表究竟为什么会出现这样那样的安全问题?有没有办法来解决?沈剑同样给予了解答
他告诉记者,其实出现类似黑客随意篡改号码这样的漏洞,究其根本还是厂商的后台服务器出了问题,出现问题的根本在于厂商对于安全的重视程度和投入程度。
“我们知道任何电子产品都不是百分百安全的,总会有漏洞,但是类似篡改号码这样的漏洞,其实厂商通过添加后台认证信息就可以补漏,也就是说增加一个号码是否篡改的验证步骤,技术上是可以实现的,关键在于有没有心去这样做。”沈剑说道
他坦言,后台服务器是一家厂商出品儿童手表是否安全的根本,也是最基本最重要的保障。然而,一些不知名的厂家,出于成本的考虑,往往忽视安全的构建。“比如购买防火墙的成本很高,有些厂商为了降低成本甚至可能不加防火墙。另外,后台服务器要不断优化更新,其实后期维护费用才是花销的大头,不去重视安全,忽视维护,那安全系数就会明显下降。”
记者了解到,南京已有学校发通知禁止学生把智能手表带入校园,就算尚未禁止,也有不少学校表示不建议和提倡孩子使用智能手表,并且会跟各位家长沟通。
在南京市将军山小学,从上学期开始,学校就发出通知禁止孩子在学校使用儿童智能手表,至于原因,潘勇老师告诉记者,主要是因为智能手表在课堂上分散了孩子的注意力。“我们发现现在这些智能手表智能化很高,可以打电话录音甚至摄像,但在使用过程中,孩子们逐渐把它当成了一种玩具,在课堂上一直看一直玩,和大人们预计的效果是完全不同的。”
他认为,课堂上,智能手表让学生分心,如果孩子有事可以直接找老师帮忙打电话。想要看时间,每个教室都有挂钟。另外,智能手表也算是贵重物品,孩子保管能力不强,容易丢失。孩子在学校里也很安全,没有走丢的可能。总而言之它并不适合校内使用。