《南方都市報(bào)》報(bào)道稱(chēng)����,日漸流行的兒童電話手表大多被冠以“智能”頭銜�,以“安全”�、“便捷”作為產(chǎn)品的最大賣(mài)點(diǎn)�。然而南都在質(zhì)量安全檢測(cè)中心,對(duì)兒童電話手表可能存在的安全漏洞進(jìn)行實(shí)測(cè)驗(yàn)證發(fā)現(xiàn)���,通訊錄號(hào)碼在后臺(tái)就可進(jìn)行修改�,“黑客”后臺(tái)撥號(hào)���,手表顯示“爸爸”并不難。
[新聞背景]
來(lái)電的是爸爸���?其實(shí)并不一定
從去年開(kāi)始���,就陸續(xù)有白帽黑客在國(guó)內(nèi)安全平臺(tái)烏云上,曝光了兒童安全手表的相關(guān)漏洞��,漏洞的主要根源在廠家的服務(wù)器上���。有專(zhuān)家表示���,現(xiàn)在的兒童智能手機(jī)所有信息其實(shí)都在后臺(tái)服務(wù)器上�,攻擊者可利用漏洞查詢(xún)智能手表連接的服務(wù)器�����,就可以查看到客戶(hù)信息��,并根據(jù)相應(yīng)ID直接查看孩子的地理位置��、實(shí)時(shí)監(jiān)控孩子的地理坐標(biāo)����、日常活動(dòng)軌跡及環(huán)境錄音等隱私內(nèi)容�。
在測(cè)評(píng)中,被攻擊的兒童電話手表一直處于黑屏狀態(tài)�,沒(méi)有任何跡象,可記者的手機(jī)卻顯示出了號(hào)碼��。“這個(gè)就是這塊兒童電話手表打過(guò)來(lái)的�����。”鑒定君拿著手機(jī)走到室外接通電話�,就和普通打電話一樣,非常清晰地聽(tīng)到室內(nèi)的一切聲音�����。
另一個(gè)實(shí)驗(yàn),通過(guò)后臺(tái)服務(wù)器���,拿到這塊手表的通訊錄����,再通過(guò)攻擊軟件�,對(duì)通訊錄上的電話號(hào)碼進(jìn)行修改,然后再上傳回服務(wù)器�����。很快�����,他用自己的手機(jī)向這塊兒童電話手表進(jìn)行撥號(hào)���,兒童電話手表屏幕上就清晰顯示出“爸爸”的字樣。
很難辨識(shí)來(lái)電真?zhèn)沃荒芑負(fù)艽_認(rèn)
那么�����,如果黑客使用技術(shù)手段篡改兒童手表上的號(hào)碼,消費(fèi)者是否有辦法判斷來(lái)電的真?zhèn)文?�?黑客又是如何通過(guò)手段來(lái)篡改這些號(hào)碼的����?記者也咨詢(xún)了南京信息工程大學(xué)計(jì)算機(jī)與軟件學(xué)院的安全專(zhuān)家沈劍教授,他對(duì)此進(jìn)行了解讀���。
首先�����,對(duì)于所謂的篡改號(hào)碼后的識(shí)別���,沈劍教授表示�����,作為普通消費(fèi)者���,他看到的來(lái)電號(hào)碼是什么樣就是什么樣,是看不出背后真?zhèn)蔚摹?ldquo;黑客是竊取后臺(tái)信息篡改的號(hào)碼����,你保存的是文字���,通過(guò)文字是辨別不了的,只能通過(guò)日常生活行為習(xí)慣來(lái)判斷�����,比如聲音和語(yǔ)言習(xí)慣等����。需要注意的一點(diǎn),如果電話那頭涉及敏感信息���,有必要通過(guò)千真萬(wàn)確的號(hào)碼回?fù)軄?lái)確認(rèn)��。”
“這其實(shí)需要家長(zhǎng)教育孩子��,如果接到電話里有自己不確定的信息��,比如爸爸不能來(lái)接你會(huì)讓同事來(lái)等等,一定要教孩子學(xué)會(huì)回?fù)芙o家長(zhǎng)確認(rèn)��,以保證安全�,從用戶(hù)行為習(xí)慣上來(lái)降低安全風(fēng)險(xiǎn),因?yàn)槁┒幢旧頍o(wú)法避免。”沈劍告訴記者��。
兒童手表為何漏洞多����?服務(wù)器投入跟不上
隨著接二連三的曝光,兒童手表的不安全方面陸續(xù)被發(fā)現(xiàn)�����,那么���,兒童手表究竟為什么會(huì)出現(xiàn)這樣那樣的安全問(wèn)題�?有沒(méi)有辦法來(lái)解決����?沈劍同樣給予了解答
他告訴記者,其實(shí)出現(xiàn)類(lèi)似黑客隨意篡改號(hào)碼這樣的漏洞����,究其根本還是廠商的后臺(tái)服務(wù)器出了問(wèn)題,出現(xiàn)問(wèn)題的根本在于廠商對(duì)于安全的重視程度和投入程度�。
“我們知道任何電子產(chǎn)品都不是百分百安全的,總會(huì)有漏洞�,但是類(lèi)似篡改號(hào)碼這樣的漏洞,其實(shí)廠商通過(guò)添加后臺(tái)認(rèn)證信息就可以補(bǔ)漏,也就是說(shuō)增加一個(gè)號(hào)碼是否篡改的驗(yàn)證步驟��,技術(shù)上是可以實(shí)現(xiàn)的�����,關(guān)鍵在于有沒(méi)有心去這樣做��。”沈劍說(shuō)道
他坦言����,后臺(tái)服務(wù)器是一家廠商出品兒童手表是否安全的根本,也是最基本最重要的保障�����。然而����,一些不知名的廠家,出于成本的考慮��,往往忽視安全的構(gòu)建���。“比如購(gòu)買(mǎi)防火墻的成本很高,有些廠商為了降低成本甚至可能不加防火墻。另外�,后臺(tái)服務(wù)器要不斷優(yōu)化更新,其實(shí)后期維護(hù)費(fèi)用才是花銷(xiāo)的大頭�����,不去重視安全����,忽視維護(hù),那安全系數(shù)就會(huì)明顯下降�。”
記者了解到,南京已有學(xué)校發(fā)通知禁止學(xué)生把智能手表帶入校園�����,就算尚未禁止���,也有不少學(xué)校表示不建議和提倡孩子使用智能手表�����,并且會(huì)跟各位家長(zhǎng)溝通�。
在南京市將軍山小學(xué)����,從上學(xué)期開(kāi)始��,學(xué)校就發(fā)出通知禁止孩子在學(xué)校使用兒童智能手表��,至于原因�����,潘勇老師告訴記者���,主要是因?yàn)橹悄苁直碓谡n堂上分散了孩子的注意力。“我們發(fā)現(xiàn)現(xiàn)在這些智能手表智能化很高��,可以打電話錄音甚至攝像�����,但在使用過(guò)程中��,孩子們逐漸把它當(dāng)成了一種玩具���,在課堂上一直看一直玩����,和大人們預(yù)計(jì)的效果是完全不同的。”
他認(rèn)為����,課堂上��,智能手表讓學(xué)生分心�����,如果孩子有事可以直接找老師幫忙打電話��。想要看時(shí)間��,每個(gè)教室都有掛鐘��。另外���,智能手表也算是貴重物品�����,孩子保管能力不強(qiáng)����,容易丟失。孩子在學(xué)校里也很安全�,沒(méi)有走丟的可能?����?偠灾⒉贿m合校內(nèi)使用��。
