具有追蹤功能的兒童智能手表近年來越來越受到家長們的歡迎,它能讓父母知曉孩子的實(shí)時(shí)位置,在兒童安全性上為父母提供相當(dāng)大的便利性。但近日在對市場上一個(gè)受歡迎的電子品牌——Misafes的調(diào)查后發(fā)現(xiàn),其智能兒童手表中存在一個(gè)漏洞,可以讓其他人訪問跟蹤功能,這最終可能會(huì)威脅到兒童的人身安全。研究人員的建議是停止使用這種手表,因?yàn)楫?dāng)前沒有緩解措施。
Misafes的Child Watcher電子手表能為父母提供通過SIM卡和手機(jī)連接進(jìn)行雙向通話的功能,以及一個(gè)隨附的應(yīng)用程序,供家長跟蹤孩子的位置,但其市場售價(jià)不到10歐元。
Pen Test Partners的研究人員發(fā)現(xiàn),該產(chǎn)品簡直是為跟蹤狂或戀童癖量身訂做的理想作案工具:它不光能允許黑客遠(yuǎn)程檢索兒童手表的實(shí)時(shí)GPS坐標(biāo),還可以通過手表呼叫孩子,竊聽談話并攔截他們的個(gè)人信息,例如姓名,年齡和性別等。
本周四,Pen Test Partners的研究員Alan Monie在一篇文章中概述了他是如何利用不安全的直接對象引用(IDOR)對手表發(fā)起攻測的。
當(dāng)內(nèi)部實(shí)現(xiàn)對象(如文件或數(shù)據(jù)庫)公開給用戶而不使用任何其他訪問控制時(shí),就會(huì)發(fā)生IDOR攻擊。攻擊者可以操縱這些引用來訪問未經(jīng)授權(quán)的數(shù)據(jù),并從中執(zhí)行各種惡意操作。
在(使用Burp)代理iOS MiSafes的app后,Monie發(fā)現(xiàn)流量未被加密——這意味著個(gè)人信息,例如個(gè)人資料圖片、姓名、性別、出生日期、兒童的身高和體重都在互聯(lián)網(wǎng)中以明文的形式傳輸。
更糟糕的是,API執(zhí)行的唯一檢查是將用戶ID與跟蹤器上的session_token參數(shù)匹配。因此,攻擊者通過簡單更改API的get_watch_data_latest參數(shù)中的family_id,就可以查找與該家庭相關(guān)聯(lián)的手表位置和device_id。
Monie表示,
family_id是按順序生成的,當(dāng)將其與另一個(gè)相同的family_id交換時(shí),就能夠獲得另一塊手表的位置數(shù)據(jù),同時(shí)會(huì)返回了一個(gè)device_id,我們可以用它來獲取孩子的電話號碼。
Monie能夠查看手表近乎實(shí)時(shí)的位置數(shù)據(jù)(因?yàn)樗扛?分鐘就會(huì)把GPS坐標(biāo)更新到API),以及手表所在地之前的位置數(shù)據(jù)。
Monie曾多次嘗試與Misafes聯(lián)系,但沒有得到過該公司的回應(yīng)。但這款產(chǎn)品已經(jīng)從eBay和亞馬遜上撤下。
Monie表示,這個(gè)安全故障很難修復(fù),并建議消費(fèi)者停止使用這款手表:
API的問題MiSafes或許能修復(fù)好,但該設(shè)備使用內(nèi)部白名單來決定是否允許孩子接聽電話,這個(gè)問題較為棘手。MiSafes需要更新所有手表中的固件。我們的建議是停止使用這款手表。
許多物聯(lián)網(wǎng)設(shè)備并不安全,尤其是一些兒童使用的設(shè)備,可能會(huì)具有一些隱藏風(fēng)險(xiǎn)。去年,與CloudPets相連的泰迪熊玩具就發(fā)生過一次重大的數(shù)據(jù)泄露事件,220萬父母和孩子之間的錄音遭到暴露。而其他一些聯(lián)網(wǎng)的玩具中也發(fā)現(xiàn)過類似的隱私問題,例如Genesis Toys的My Friend Cayla娃娃(已在德國被禁止)和Mattel的Hello Barbie娃娃。
Monie表示,
遺憾的是,在消費(fèi)者或行業(yè)組織開始要求達(dá)到某些安全標(biāo)準(zhǔn)或供應(yīng)商發(fā)布安全測試報(bào)告之前,市場競爭將優(yōu)先于安全性。有這么多便宜的物聯(lián)網(wǎng)設(shè)備,安全研究人員無法對它們進(jìn)行全面測試。希望其他國家能效仿德國的做法,嚴(yán)格控制銷售權(quán)限,這才可能會(huì)給制造商帶來壓力。
| 
