廉價兒童智慧手錶洩漏超過 5000 筆兒童資訊，攻擊者還能以父母身分去電與之對話

科技日新月異，智慧手錶對於一般人早已不陌生，除了大人用的產品，月來越多廠商推出兒童用的智慧型手錶，依照功能性不同價格落差很大，品質也參差不齊。國外物聯網測試單位發現，某款中國產的廉價兒童智慧手錶存在嚴重的安全隱憂，其中有 5,000 多名兒童與其父母的相關資訊和位置被曝光。

廉價兒童智慧手錶洩漏超過 5000 筆兒童資訊，攻擊者還能以父母身分去電與之對話

AV-TEST 的物聯網測試部門在兒童智慧型手錶方面已經持續進行超過兩年的測試與觀察，近日該單位發表了一份報告，其中指出中國公司 SMA （深圳愛保護科技有限公司）製造的 M2 兒童智慧手錶存在漏洞。M2 這個錶款已經上市多年，可搭配專用的手機應用程式使用，父母於 SMA 服務上註冊帳號後可將孩子的智慧型手錶與手機配對，然後使用該應用程式追蹤孩子的位置，並且可與兒童進行語音通話，在孩子離開父母的指定區域時還可獲得即時通知。這並不是個新概念，市面上已經有許多類似的產品，價位從幾十美元到幾百美元不等，但 AV-TEST 的首席執行長兼技術總監 Maik Morgenstern 表示 M2 錶款在安全性方面的問題名列前茅，也是目前市面上最不安全的產品之一。


Morgenstern 說，任何人都能夠透過可公開造訪的 Web API 查詢智慧手錶的後台，這個後台中所顯示的資訊與父母所持有的手機應用程式上所顯示的內容一樣。照理說，應該要有一個身分驗證的機制以防止未經授權的訪問，但由於 SMA 的伺服器從不驗證其有效性，所以不肖人士可用任何它們喜歡的方式來連接到該公司的 Web API 中，循環瀏覽所有用戶的 ID，必且收集所有孩子與其父母的相關數據。Morgenstern 表示，利用這種技術，他的團隊能夠識別出超過 5,000 名 M2 智慧手錶的配戴者和 10,000 多位家長帳戶。大多數使用 M2 智慧錶款的孩童分布在歐洲，包含荷蘭、波蘭、土耳其、德國、西班牙和比利時等地，但在中國、香港與墨西哥也同樣有所發現。


第二個漏洞則讓人不免感到毛骨悚然，這問題就出在父母手機上的專屬應用程式上。攻擊者可以將該應用程式安裝在自己的手機上，在應用程式的主配置文件中更改用戶 ID，並將其手機與孩子的智慧手錶配對，此過程完全不需輸入家長的電子郵件地址或密碼。在配對後，攻擊者可在該應用程式的功能中，以地圖追蹤孩子的行蹤，甚至可以用父母的身分撥打電話與孩子進行語音對話。更糟糕的是，攻擊者可以在給孩子錯誤指示時更改應用程式登入帳戶的密碼，將家長鎖定在應用程式之外。


目前，AV-TEST 已經與 SMA 公司聯繫回報該問題，卻沒有獲得相關回應，且該錶款還在透過該公司網站與各地經銷販售。父母為孩子挑選智慧手錶時請不要被低廉的價格迷惑，儘管追蹤孩子是為了安全考量，但在其背後的系統安全性也是必須審慎考慮的重點，所以建議大家選購時以大廠牌的產品為主，至少在技術層面的水準比較可信。

◎資料來源：AV-TEST