还买给孩子？部分儿童智能手表存隐患 成监听设备

黑客如何攻击智能手表？

记者了解到，儿童智能手表都有相应的手机软件(App)，用于家长注册、绑定手表，在手机App中可以设置儿童的姓名、生日等信息，也可以发送指令，比如查询位置、通话等。

那么，黑客是如何攻击智能手表的？

西安四叶草信息技术有限公司高级安全研究员余俊峰说，手机App中设置的信息和发送的指令会传到智能手表云端服务器，云端服务器和手表之间也相互发送一些功能指令。

“正常情况下，用户A只能对自己绑定的智能手表发送信息和指令，但由于智能手表云端程序没有对用户身份和要执行的指令进行权限判断，导致用户A也可以对未绑定的其他智能手表进行操作。这就导致了越权漏洞。”他说。

关于“越权漏洞”，余俊峰解释说，比如黑客在某银行有银行卡，正常情况下只能从自己的银行卡中取钱，但黑客把银行卡号修改成别人的，从别人的银行卡上把钱取出来了，银行没有判断取款人是否有权从这个银行卡取钱，这就是越权漏洞。

资料图。隐藏在网络中的黑客也有黑白之分。“白帽”为安全而技术，是网络安全的建设者；“黑帽”为利益而技术，是网络安全的破坏者。

厂商设计不规范导致漏洞出现

不过，儿童智能手表的安全问题不能简单归结为技术问题。

2015年，国内多个品牌的儿童智能手表被曝存在“越权漏洞”。谈到这一问题，360儿童手表产品总监孙浩告诉中新网记者，这其实是比较低级的漏洞，能做到这一点的前提是在服务端接口设计上就不规范，使攻击者能越过一些认证手段，非法获取手表的隐私信息。

“更进一步，根本原因在于2015年儿童手表市场爆发，很多小的厂商进入市场，他们没有完善的设计研发能力，采用市面上一些公板方案，在产品的技术方案设计上就有问题。”孙浩说。

余俊峰认为，有些厂商为了产品尽早上市占领市场，缺乏足够的设计、开发、测试时间，导致漏洞百出；也有些厂商获知白帽黑客提交的漏洞细节后，没有采取任何补救措施，对漏洞置之不理，任由漏洞存在。